FortiAnalyzer整合(日誌收集器)概述
您可以將 Fortinet FortiAnalyzser 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Fortinet FortiAnalyzer 產品概覽
Fortinet 的 FortiAnalyzer 平台集中收集和解釋網路事件。Sophos 可透過 FortiAnalyzer 擷取 Fortigate 防火牆警示。
Fortigate 是新一代防火牆,可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能,為使用者提供針對複雜威脅的保護。
Sophos 文件資訊
整合 Fortinet FortiAnalyzer (記錄收集器)
資料擷取內容
Sophos 可擷取的範例警示包括:
Admin login failedIPsec phase 1 errorWeb request to Malicious Websites blockedRisky App Cloudflare.1.1.1.1.VPN blockedURL belongs to a denied category in policyWeb traffic to C&C from _ blockedSSH channel blockedapplications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflowoperating_system: Linux.Kernel.TCP.SACK.Panic.DoSmisc: Java.Debug.Wire.Protocol.Insecure.Configurationbackdoor: Bladabindi.BotnetSocial.Media: SnapchatGeneral.Interest: Google.Cloud.MessagingEmail: Microsoft.Outlook.Office.365Storage.Backup: DropboxMalware JS/Agent.10CC!tr download from WAN blocked
資料篩選
- 我們允許以標準的CEF格式發送訊息。
- 我們篩選結果以移除以不合規格式提供的資料。
- 然後我們會捨棄那些無趣或非安全事件的警示訊息。
威脅對應範例
我們將該類型定義如下:
若欄位「訊息」不為空,我們將搜尋特定的正則表達式模式。否則,請檢查 、 和 欄位是否存在,並相應地指派它們的值。
範例對應項目如下:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}