Integrar o FortiManager ao Google SecOps
Versão da integração: 7.0
Este documento explica como integrar o FortiManager ao Google Security Operations.
Antes de começar
Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:
Credenciais da API FortiManager: um nome de usuário e uma senha válidos com as permissões necessárias para gerenciar os domínios administrativos (ADOMs).
Licença do ADOM do FortiManager: uma licença de assinatura do ADOM válida. Essa licença é obrigatória para operações de "gravação", como atualizar políticas de firewall, gerenciar grupos de endereços ou bloquear e desbloquear ADOMs.
Solução alternativa opcional: se você não tiver uma licença do ADOM, gerencie seus firewalls conectando-se diretamente a eles em vez de usar o gerenciador.
Para implementar essa alternativa, siga estas etapas:
Instale a integração do FortiGate na Central de conteúdo.
Gere uma chave de administrador da API REST no dispositivo FortiGate local.
Atualize seus playbooks para usar ações do FortiGate em vez de ações do FortiManager usando a seguinte tabela de mapeamento.
Ação do FortiManager (requer uma licença do ADOM) Ação equivalente do FortiGate (controle direto) Add IP to GroupAdd Entities To Address GroupRemove IP from GroupRemove Entities from Address GroupAdd URL to URL FilterAdd Entities To PolicyRemove URL From URL FilterRemove Entities From Policy
Parâmetros de integração
A integração do FortiManager exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao FortiManager. Essa opção é selecionada por padrão. |
Workflow Mode |
Opcional. Se selecionada, a integração usa sessões de fluxo de trabalho para executar solicitações de API se o FortiManager estiver configurado no modo de fluxo de trabalho. Não selecionada por padrão. |
API Root |
Obrigatório. A raiz da API da instância do FortiManager, como O valor padrão é |
Username |
Obrigatório. O nome de usuário da conta do FortiManager. |
Password |
Obrigatório. A senha da conta do FortiManager. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.
Adicionar IP ao grupo
Use a ação Adicionar IP ao grupo para criar um objeto de endereço de firewall e adicioná-lo a um grupo de endereços adequado.
Essa ação é executada na entidade IP Address do Google SecOps.
Entradas de ação
A ação Adicionar IP ao grupo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ADOM Name |
Obrigatório. O nome do domínio administrativo (ADOM) a ser usado. O valor padrão é |
Address Group Name |
Obrigatório. O nome do grupo de endereços para adicionar o objeto de endereço. |
Saídas de ação
A ação Adicionar IP ao grupo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar IP ao grupo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar URL ao filtro de URL
Use a ação Adicionar URL ao filtro de URL para incluir um novo registro de bloqueio em um filtro de URL.
Essa ação é executada na entidade URL do Google SecOps.
Entradas de ação
A ação Adicionar URL ao filtro de URL exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ADOM Name |
Obrigatório. O nome do ADOM a ser usado. O valor padrão é |
Url Filter Name |
Obrigatório. O nome do filtro de URL para adicionar um URL. |
Saídas de ação
A ação Adicionar URL ao filtro de URL fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar URL ao filtro de URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar script
Use a ação Executar script para executar um script em um grupo de dispositivos. Para executar essa ação em um único dispositivo, forneça o domínio virtual (VDOM).
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Executar script exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ADOM Name |
Obrigatório. O nome da ADOM para executar o script. |
Policy Package Name |
Obrigatório. O nome completo do pacote de políticas para executar o script, incluindo o nome do pacote e as pastas mãe. |
Script Name |
Obrigatório. O nome do script a ser executado no FortiManager. |
Device Name |
Obrigatório. O nome do dispositivo em que o script será executado. |
VDOM |
Opcional. O VDOM do dispositivo em que o script será executado. |
Saídas de ação
A ação Executar script fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar script:
| Nome do resultado do script | Valor |
|---|---|
task_id |
TASK_ID |
Acessar informações da tarefa
Use a ação Receber informações da tarefa para obter as informações da tarefa usando o ID dela.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Receber informações da tarefa exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Task ID |
Obrigatório. O ID da tarefa do FortiManager para recuperar informações. |
Saídas de ação
A ação Receber informações da tarefa fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber informações da tarefa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o FortiManager.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remover IP do grupo
Use a ação Remover IP do grupo para remover um objeto de endereço de firewall de um grupo de endereços e excluir o objeto de endereço de firewall.
Essa ação é executada na entidade IP Address do Google SecOps.
Entradas de ação
A ação Remover IP do grupo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ADOM Name |
Obrigatório. O nome do ADOM para executar a ação. O valor padrão é |
Address Group Name |
Obrigatório. O nome do grupo de endereços de que o objeto de endereço será removido. |
Saídas de ação
A ação Remover IP do grupo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover IP do grupo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remover URL do filtro de URL
Use a ação Remover URL do filtro de URL para remover um registro de bloqueio de um filtro de URL.
Essa ação é executada na entidade URL do Google SecOps.
Entradas de ação
A ação Remover URL do filtro de URL exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ADOM Name |
Obrigatório. O nome do ADOM para executar a ação. O valor padrão é |
Url Filter Name |
Obrigatório. O nome do filtro de URL de que o URL será removido. |
Saídas de ação
A ação Remover URL do filtro de URL fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover URL do filtro de URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.