Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Fortinet FortiAnalyzer (API)

API

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Nota

Uma integração do coletor de log do FortiAnalyzer também está disponível. Ao contrário da integração da API, ela não exige que você dê ao seu dispositivo FortiAnalyzer acesso à internet pública. Consulte Fortinet FortiAnalyzer (coletor de log).

Você pode integrar o Fortinet FortiAnalyzer ao Sophos Central para que ele envie relatórios à Sophos para análise.

Essa integração é baseada em API. Você precisará dos detalhes do nome de usuário, senha e domínio administrativo do administrador do FortiAnalyzer, bem como a URL base do FortiAnalyzer.

As etapas principais são as seguintes:

  • Crie um administrador no FortiAnalyzer.
  • Obtenha a URL base do FortiAnalyzer.
  • Configure uma integração no Sophos Central.

Alerta

A URL base do FortiAnalyzer deve ter um nome DNS resolvido publicamente, ou a API não funcionará.

Você também não pode usar um certificado autoassinado com essa API.

Criar um administrador do FortiAnalyzer

Para criar um administrador, faça o seguinte:

  1. No FortiAnalyzer, vá para System Settings > Admin > Administrators.

  2. Crie um administrador com acesso de leitura à API JSON.

    No perfil do administrador, você deve definir a permissão Incidents & Events/FortiSOC como Read Only.

    Anote o nome de usuário, a senha e o domínio administrativo. Você precisará deles ao adicionar a integração.

    Para obter detalhes, consulte Creating administrators.

Obter a URL base do FortiAnalyzer

  1. Verifique a URL base do FortiAnalyzer à qual o Sophos Central deve se conectar.

    O formato da URL base é o seguinte: https://faz.<yourorganization>.com.

    Copie a URL base. Você precisará dela ao adicionar a integração.

Configurar uma integração

Para integrar o FortiAnalyzer ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em FortiAnalyzer.

    A página FortiAnalyzer é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

  4. Em Etapas de integração, você configura uma API para coletar dados do FortiAnalyzer:

    1. Insira o Nome da integração e a Descrição da integração.
    2. Insira os Detalhes de autenticação do FortiAnalyzer: domínio administrativo, nome de usuário, senha e URL base.
  5. Clique em Salvar.

Nós criamos a integração e ela aparece na sua lista. Se o seu ícone de status mostrar uma marca verde, seus dados deverão aparecer no Sophos Data Lake após a validação.

Endereços IP do Sophos

Os endereços IP que usamos para acessar o FortiAnalyzer dependem da sua região do Sophos Central. Para saber quais endereços IP você precisa, consulte IPs Sophos para integrações.

Se desejar, você pode adicionar esses endereços às listas de permissão na infraestrutura da sua rede.