跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Fortinet FortiAnalyzer集成

您可以將 Fortinet FortiAnalyzer 與 Sophos Central 整合,以便其將報告傳送到 Sophos 進行分析。

此頁面提供集成的概述。

Fortinet FortiAnalyzer產品概述

Fortinet 的 FortiAnalyzer 平台集中收集和解釋網路事件。Sophos 可透過 FortiAnalyzer 擷取 Fortigate 警示。

Fortigate 是新一代防火牆,可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能,為使用者提供針對複雜威脅的保護。

Sophos文檔

Fortinet FortiAnalyzer (API)

我們攝取的東西

Sophos看到的示例警報:

  • 應用程式使用風險
  • 到C2域的Web流量
  • 提供的惡意軟體來自地址
  • 到殭屍網路域的流量
  • 入侵日誌
  • 配置更改

已擷取完整警示

我們會擷取從Fortivanalyzer /eventmgmt/adom 端點傳回的事件。

篩選

我們查詢端點 eventmgmt/adom

我們會將結果篩選為以不合規格式提供的移除資料。

然後我們將與以下類型匹配的警報作為不感興趣的警報丟棄:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address."
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

威脅映射示例

警報類型定義如下:

如果欄位 message 不為空,則為指定正則表達式模式的搜尋。否則,請檢查 FTNTFGTattack ad.subtype,和 cat 字段是否存在,並相應地分配它們的值。如果未找到匹配項,我們將裁剪該 message 字段。

警報示例:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

供應商文檔

建立系統管理員