整合 Fortinet FortiAnalyzer (API)
MSP Flex 客戶必須具備防火牆整合授權包才能使用此功能。
注意
透過此整合,FortiAnalyzer 設備和 VM 訂閱產品可以將資料轉發到 Sophos。但是,FortiAnalyzer Cloud 無法轉發記錄,包括安全事件,因此與此整合不相容。請參閱 FortiAnalyzer Cloud 的限制。
注意
此外,FortiAnalyzer 的記錄收集器整合也可用。與 API 整合不同,它不需要您授與 FortiAnalyzer 裝置存取公共網際網路的權限。請參閱 整合 Fortinet FortiAnalyzer (記錄收集器)。
您可以將 Fortinet FortiAnalyzer 與 Sophos Central 整合,以便其將報告傳送到 Sophos 進行分析。
您需要 FortiAnalyzer 管理員的使用者名稱、密碼和管理網域以及 FortiAnalyzer 基本 URL 的詳細資料。
主要步驟描述如下:
- 在 FortiAnalyzer 中建立管理員。
- 取得 FortiAnalyzer 的基本 URL。
- 在 Sophos Central 中設定整合。
警告
您的 FortiAnalyzer 基本 URL 必須具有可公開解析的 DNS 名稱,否則 API 將無法運作。
您也不能將自我簽署憑證與此 API 一起使用。
建立 FortiAnalyzer 管理員
若要建立管理員,請執行以下動作:
-
在 FortiAnalyzer 中,移至系統設定 > 管理 > 管理員。
-
使用 JSON API 讀取權限建立管理員。
在管理員的設定檔中,您必須將突發事件與事件/FortiSOC權限設定為唯讀。
記下使用者名稱、密碼和管理網域。新增整合時需要這些資訊。
有關詳細資料,請參閱建立管理員。
取得 FortiAnalyzer 基本 URL
-
檢查 Sophos Central 應連接的 FortiAnalyzer 基本 URL。
基本 URL 格式如下:
https://faz.<yourorganization>.com。複製基本 URL。新增整合時需要該資訊。
設定整合
若要將 FortiAnalyzer 整合到 Sophos Central,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下 FortiAnalyzer。
FortiAnalyzer 頁面隨即打開。您可以在此處設定整合並查看已設定的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。
-
在整合步驟中,您可以設定一個 API 以從 FortiAnalyzer 收集資料:
- 輸入整合名稱和整合說明。
-
輸入驗證詳細資料:
- FortiAnalyzer管理員的使用者名稱、密碼和管理域。這是您之前建立的管理員。
- FortiAnalyzer基本URL。
-
按一下 儲存
我們會建立整合,整合會顯示在您的清單中。如果其狀態圖示顯示綠色勾號,則驗證後您的資料應顯示在 Sophos Data Lake 中。
Sophos IP 位址
我們用於存取您的 FortiAnalyzer 的 IP 位址取決於您的 Sophos Central 地區。要尋找您需要的 IP 位址,請參閱 允許 Sophos IP。
建議您將這些位址新增到網路結構中的允許清單。