Fortinet FortiGate集成
您可以將 Fortinet Fortigate 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Fortinet FortiGate產品概述
Fortinet 的 FortiGate 是新一代防火牆,可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能,為使用者提供針對複雜威脅的保護。
Sophos文檔
我們攝取的東西
Sophos看到的示例警報:
Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
Squirrelly.Template.Engine.Express.Render.API.Code.Injection
Splunk.Enterprise.REST.Information.Disclosure
TinyWebGallery.Lang.File.Inclusion
SIP.Multiple.Single.Value.Required.Header.Field
已擷取完整警示
我們建議您配置以下警報(嚴重性 warning
或更高):
forward-traffic
local-traffic
multicast-traffic
sniffer-traffic
anomaly
traffic
web
url-filter
log-all-url
web-filter-referer-log
篩選
我們按如下方式篩選警報和日誌。
代理過濾器
- 我們允許有效
CEF
。 - 我們丟棄流量日誌和WAF傳遞日誌。
- 我們刪除僅記錄,資訊和通知級別的消息。
- 我們刪除各種無線設備狀態消息。
平台過濾器
- 我們丟棄各種Active Directory審核日誌。
- 刪除錯誤級別消息。
- 我們會刪除各種已審核和非安全相關的消息和日誌。
- 我們丟棄各種高容量和低值指定的消息
威脅映射示例
{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}