Fortinet FortiAnalyzer集成
您可以將 Fortinet FortiAnalyzer 與 Sophos Central 整合,以便其將報告傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Fortinet FortiAnalyzer產品概述
Fortinet 的 FortiAnalyzer 平台集中收集和解釋網路事件。Sophos 可透過 FortiAnalyzer 擷取 Fortigate 警示。
Fortigate 是新一代防火牆,可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能,為使用者提供針對複雜威脅的保護。
Sophos文檔
我們攝取的東西
Sophos看到的示例警報:
- 應用程式使用風險
- 到C2域的Web流量
- 提供的惡意軟體來自地址
- 到殭屍網路域的流量
- 入侵日誌
- 配置更改
已擷取完整警示
我們會擷取從Fortivanalyzer /eventmgmt/adom
端點傳回的事件。
篩選
我們查詢端點 eventmgmt/adom
。
我們會將結果篩選為以不合規格式提供的移除資料。
然後我們將與以下類型匹配的警報作為不感興趣的警報丟棄:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
威脅映射示例
警報類型定義如下:
如果欄位 message
不為空,則為指定正則表達式模式的搜尋。否則,請檢查 FTNTFGTattack
ad.subtype
,和 cat
字段是否存在,並相應地分配它們的值。如果未找到匹配項,我們將裁剪該 message
字段。
警報示例:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}