Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=fortianalyzer-syslog-integration-overview

Visão geral da integração do FortiAnalyzer (coletor de log)

Coletor de log Firewall

Você pode integrar o Fortinet FortiAnalyzser ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Fortinet FortiAnalyzer

A plataforma FortiAnalyzer da Fortinet centraliza a coleta e interpretação dos eventos de rede. A Sophos pode ingerir alertas do firewall Fortigate via FortiAnalyzer.

FortiGate é um firewall de última geração que oferece proteção contra ameaças avançadas e otimização de desempenho. Sua plataforma integrada consolida várias funções de segurança e rede, oferecendo aos usuários proteção contra ameaças sofisticadas.

Documentação da Sophos

Integrar o Fortinet FortiAnalyzer (coletor de log)

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Admin login failed
  • IPsec phase 1 error
  • Web request to Malicious Websites blocked
  • Risky App Cloudflare.1.1.1.1.VPN blocked
  • URL belongs to a denied category in policy
  • Web traffic to C&C from _ blocked
  • SSH channel blocked
  • applications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow
  • operating_system: Linux.Kernel.TCP.SACK.Panic.DoS
  • misc: Java.Debug.Wire.Protocol.Insecure.Configuration
  • backdoor: Bladabindi.Botnet
  • Social.Media: Snapchat
  • General.Interest: Google.Cloud.Messaging
  • Email: Microsoft.Outlook.Office.365
  • Storage.Backup: Dropbox
  • Malware JS/Agent.10CC!tr download from WAN blocked

Filtragem

  • Permitimos mensagens no formato CEF standard.
  • Filtramos para remover os dados fornecidos em um formato não compatível.
  • Em seguida, descartamos alertas que não são interessantes ou eventos não relacionados à segurança.

Amostra de mapeamentos de ameaças

Definimos o tipo da seguinte forma:

Se o campo "message" não estiver vazio, buscamos um padrão regex especificado. Caso contrário, verifique a existência dos campos 'FTNTFGTattack', 'ad.subtype' e 'cat' e atribua os seus valores de acordo.

Exemplos de mapeamentos:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentação do fornecedor