跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=fortianalyzer-log-collector

整合 Fortinet FortiAnalyzer(日誌收集器)

!!! info “MSP Flex客戶必須擁有防火牆整合許可包才能使用此功能。”

注意

透過此整合,FortiAnalyzer 設備和 VM 訂閱產品可以將資料轉發到 Sophos。但是,FortiAnalyzer Cloud 無法轉發記錄,包括安全事件,因此與此整合不相容。請參閱FortiAnalyzer Cloud 的限制

注意

此外,還提供了基於 API 的 FortiAnalyzer 整合。請參見 整合 Fortinet FortiAnalyzer (API)

您可以將 Fortinet FortiAnalyzer 與 Sophos Central 整合,以便其將防火牆警示傳送到 Sophos 進行分析。

此整合會使用一個部署在虛擬機器 (VM) 上的日誌收集器。兩者合稱為「整合設備」。該設備會接收第三方資料,並將其傳送至 Sophos Data Lake。

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合。此步驟中,您將建立整合設備的映像檔。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 FortiAnalyzer 以將資料傳送到設備。

需求

設備具有系統和網路存取方面的需求。若要檢查您是否符合這些條件,請參閱設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace

  2. 按一下Fortinet FortiAnalyzer (記錄收集器)

    Fortinet FortiAnalyzer (記錄收集器) 頁面會打開。您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取 (安全警示) 中,按一下 新增設定

    注意

    如果這是您新增的第一個整合設定,系統會要求您提供內部網域與 IP 位址的相關資訊。請參見 提供您的域和IP詳細資訊

    螢幕上將顯示 整合設定步驟

設定設備

整合設定步驟 中,您可以設定新的設備,或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔:

  1. 輸入整合名稱與描述。
  2. 按一下 建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定 面向網際網路的網路連接埠 的 IP 設定。這將設定設備的管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本 並輸入 Syslog IP 位址

    稍後設定 FortiAnalyzer 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 選取一項 通訊協定

    設定 FortiAnalyzer 以向設備傳送資料時,必須使用相同的通訊協定。

  8. 按一下 儲存

    系統會建立此整合,並將其顯示在您的整合清單中。

    在整合詳細資料中,您可以看到設備的連接埠號碼。稍後設定 FortiAnalyzer 以向其傳送資料時,您將需要該編號。

    設備映像檔可能需要幾分鐘的時間才能準備完成。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果您部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參見 部署設備

設定 FortiAnalyzer

現在,您可以將 FortiAnalyzer 設定為向 VM 上的 Sophos 設備傳送警示。

注意

您可以設定多個 FortiAnalyzer 實例,透過相同裝置將資料傳送至Sophos 。完成整合後,請針對其他 FortiAnalyser 執行個體重複本節中的步驟。無須重複執行 Sophos Central 中的設定步驟。

您可以在 FortiAnalyzer 主控台中設定記錄轉發,如下所示:

  1. 移至系統設定 > 記錄轉發
  2. 按一下新建

  3. 新建記錄轉發頁面上,輸入以下詳細資料:

    1. 名稱:輸入伺服器的名稱,例如「Sophos appliance」。
    2. 狀態:將此項設定為
    3. 遠端伺服器類型:選取常見事件格式 (CEF)
    4. 伺服器 IP:輸入設備的 IP 位址。這是您在 Sophos Central 中輸入的 Syslog IP 位址。
    5. 伺服器連接埠:在 Sophos Central 中設定的連接埠號。
    6. 可靠連線:開啟此項可使用 TCP 連線。關閉此項可使用 UDP 連線。這必須與您先前在 Sophos Central 中設定的通訊協定相匹配。
    7. 傳送頻率。跳過此選項。它僅適用於 FortiAnalyzer 伺服器。
    8. 記錄轉發篩選器:建議您不要對 FortiAnalyzer 套用篩選器。Sophos 在設備上套用篩選。
    9. 按一下確定

FortiAnalyzer 裝置將開始將記錄轉發到設備。