Fortinet FortiAnalyzer 整合
您可以將 Fortinet FortiAnalyzer 與 Sophos Central 整合,以便其將報告傳送到 Sophos 進行分析。
此頁面提供整合的概覽。
注意
透過此整合,FortiAnalyzer 設備和 VM 訂閱產品可以將資料轉發到 Sophos。但是,FortiAnalyzer Cloud 無法轉發記錄,包括安全事件,因此與此整合不相容。請參閱 FortiAnalyzer Cloud 的限制。
Fortinet FortiAnalyzer 產品概覽
Fortinet 的 FortiAnalyzer 平台集中收集和解釋網路事件。Sophos 可透過 FortiAnalyzer 擷取 Fortigate 防火牆警示。
Fortigate 是新一代防火牆,可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能,為使用者提供針對複雜威脅的保護。
Sophos文檔
整合 Fortinet FortiAnalyzer (API)
我們擷取的內容
Sophos 看到的警示範例:
- 有風險的應用程式使用
- 到 C2 網域的 Web 流量
- 從位址提供的惡意軟體
- 到殭屍網域的流量
- 入侵記錄
- 設定變更
完整擷取的警示
我們擷取從 FortiAnalyzer /eventmgmt/adom 端點傳回的事件。
篩選
我們查詢端點 eventmgmt/adom。
我們篩選結果以移除以不合規格式提供的資料。
然後,我們將與以下類型匹配的警示視為不感興趣並捨棄:
",\\\\W+subject\\\\W+vpntunnel:*",",\\\\W+subject\\\\W+Web request to Unrated blocked",",\\\\W+subject\\\\W+IP scanning on Port: .* detected",",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",",\\\\W+subject\\\\W+SSL connection is exempted based on address.","Link monitor: Interface .* was turned down","Link monitor: Interface .* was turned up","logdesc:Memory log full over final warning level","logdesc:Memory log full over second warning level","desc\\\\:Disk quota alert","desc\\\\:Disk quota warning",",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
威脅對應範例
警示類型定義如下:
如果欄位 message 不為空,請搜尋指定的正則表達式模式。否則,請檢查 FTNTFGTattack、ad.subtype 和 cat 欄位是否存在,並相應地指派它們的值。如果未找到匹配項,我們將清空 message 欄位。
警示示例:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}