将 FortiManager 与 Google SecOps 集成

集成版本：7.0

本文档介绍了如何将 FortiManager 与 Google Security Operations 集成。

准备工作

在 Google SecOps 平台中配置集成之前，请验证您是否具备以下条件：

• FortiManager API 凭据：具有管理管理网域 (ADOM) 所需权限的有效用户名和密码。

• FortiManager ADOM 许可：有效的 ADOM 订阅许可。对于“写入”操作（例如更新防火墙政策、管理地址组或锁定和解锁 ADOM），此许可必不可少。

  • 可选解决方法：如果您没有 ADOM 许可，则可以直接连接到防火墙来管理防火墙，而不是通过管理器来管理。

    如需实现此替代方案，请完成以下步骤：

    1. 从内容中心安装 FortiGate 集成。

    2. 在本地 FortiGate 设备上生成 REST API 管理员密钥。

    3. 使用以下映射表，将 playbook 更新为使用 FortiGate 操作，而不是 FortiManager 操作。

    FortiManager 操作（需要 ADOM 许可）	等效的 FortiGate 操作（直接控制）
    Add IP to Group	Add Entities To Address Group
    Remove IP from Group	Remove Entities from Address Group
    Add URL to URL Filter	Add Entities To Policy
    Remove URL From URL Filter	Remove Entities From Policy

集成参数

FortiManager 集成需要以下参数：

参数	说明
Verify SSL	可选。 如果选中此选项，集成会在连接到 FortiManager 时验证 SSL 证书。 此选项将会默认选中。
Workflow Mode	可选。 如果选择此选项，并且 FortiManager 配置为工作流模式，则集成会使用工作流会话来执行 API 请求。 默认情况下未选中。
API Root	必填。 FortiManager 实例的 API 根，例如 https://IP_ADDRESS/jsonrpc。 默认值为 https://x.x.x.x/jsonrpc。
Username	必填。 FortiManager 账号的用户名。
Password	必填。 FortiManager 账号的密码。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如有需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅处理工作台中的待处理操作和执行手动操作。

将 IP 添加到群组

使用 Add IP To Group 操作创建防火墙地址对象，并将其添加到合适的地址组。

此操作在 Google SecOps IP Address 实体上运行。

操作输入

向群组添加 IP 操作需要以下参数：

参数	说明
ADOM Name	必填。 要使用的管理域 (ADOM) 名称。 默认值为 root。
Address Group Name	必填。 要添加地址对象的地址组名称。

操作输出

将 IP 添加到群组操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用 Add IP To Group 操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

向网址过滤条件添加网址

使用 Add 网址 to 网址 Filter 操作向网址过滤条件添加新的屏蔽记录。

此操作在 Google SecOps URL 实体上运行。

操作输入

将网址添加到网址过滤条件操作需要以下参数：

参数	说明
ADOM Name	必填。 要使用的 ADOM 名称。 默认值为 root。
Url Filter Name	必填。 用于添加网址的网址过滤条件名称。

操作输出

将网址添加到网址过滤条件操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用将网址添加到网址过滤条件操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

执行脚本

使用执行脚本操作在设备组上执行现有脚本。如需在单个设备上运行此操作，请提供虚拟网域 (VDOM)。

此操作会在所有 Google SecOps 实体上运行。

操作输入

执行脚本操作需要以下参数：

参数	说明
ADOM Name	必填。 要执行脚本的 ADOM 名称。
Policy Package Name	必填。 要执行脚本的政策软件包的全名，包括软件包名称和任何父文件夹。
Script Name	必填。 要在 FortiManager 中执行的脚本的名称。
Device Name	必填。 要执行脚本的设备的名称。
VDOM	可选。 要执行脚本的设备的 VDOM。

操作输出

执行脚本操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用执行脚本操作时脚本结果输出的值：

脚本结果名称	值
task_id	TASK_ID

获取任务信息

使用获取任务信息操作，通过任务 ID 获取任务信息。

此操作会在所有 Google SecOps 实体上运行。

操作输入

获取任务信息操作需要以下参数：

参数	说明
Task ID	必填。 要检索信息的 FortiManager 任务的 ID。

操作输出

获取任务信息操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用获取任务信息操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

Ping

使用 Ping 操作测试与 FortiManager 的连接。

此操作不会在 Google SecOps 实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

从群组中移除 IP

使用 Remove IP From Group 操作可从地址组中移除防火墙地址对象，并删除该防火墙地址对象。

此操作在 Google SecOps IP Address 实体上运行。

操作输入

从群组中移除 IP 操作需要以下参数：

参数	说明
ADOM Name	必填。 要运行操作的 ADOM 的名称。 默认值为 root。
Address Group Name	必填。 要从中移除地址对象的地址组的名称。

操作输出

从群组中移除 IP 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用从群组中移除 IP 操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

从网址过滤条件中移除网址

使用从网址过滤条件中移除网址操作可从网址过滤条件中移除屏蔽记录。

此操作在 Google SecOps URL 实体上运行。

操作输入

从网址过滤条件中移除网址操作需要以下参数：

参数	说明
ADOM Name	必填。 要运行操作的 ADOM 的名称。 默认值为 root。
Url Filter Name	必填。 要从中移除网址的网址过滤器的名称。

操作输出

从网址过滤条件中移除网址操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用从网址过滤器中移除网址操作时脚本结果输出的值：

脚本结果名称	值
is_success	True 或 False

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。