整合 FortiManager 與 Google SecOps

整合版本：7.0

本文說明如何整合 FortiManager 與 Google Security Operations。

事前準備

在 Google SecOps 平台中設定整合功能前，請確認您具備下列項目：

• FortiManager API 憑證：有效的使用者名稱和密碼，且具備管理管理網域 (ADOM) 的必要權限。

• FortiManager ADOM 授權：有效的 ADOM 訂閱授權。這項授權是「寫入」作業的必要條件，例如更新防火牆政策、管理位址群組，或是鎖定及解除鎖定 ADOM。

  • 選用解決方法：如果沒有 ADOM 授權，您可以直接連線至防火牆，而非透過管理員連線，藉此管理防火牆。

    如要實作這項替代方案，請完成下列步驟：

    1. 從內容中心安裝 FortiGate 整合項目。

    2. 在本機 FortiGate 裝置上產生 REST API 管理員金鑰。

    3. 請使用下列對應表，更新劇本以使用 FortiGate 動作，而非 FortiManager 動作。

    FortiManager 動作 (需要 ADOM 授權)	對應的 FortiGate 動作 (直接控制)
    Add IP to Group	Add Entities To Address Group
    Remove IP from Group	Remove Entities from Address Group
    Add URL to URL Filter	Add Entities To Policy
    Remove URL From URL Filter	Remove Entities From Policy

整合參數

整合 FortiManager 時需要下列參數：

參數	說明
Verify SSL	選填。 選取後，整合服務會在連線至 FortiManager 時驗證 SSL 憑證。 (此為預設選項)。
Workflow Mode	選填。 如果選取這個選項，且 FortiManager 設為工作流程模式，整合功能就會使用工作流程工作階段執行 API 要求。 預設為未選取。
API Root	必填。 FortiManager 執行個體的 API 根目錄，例如 https://IP_ADDRESS/jsonrpc。 預設值為 https://x.x.x.x/jsonrpc。
Username	必填。 FortiManager 帳戶的使用者名稱。
Password	必填。 FortiManager 帳戶的密碼。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作，請參閱「回覆『你的工作台』中的待處理動作」和「執行手動動作」。

將 IP 新增至群組

使用「Add IP To Group」(將 IP 新增至群組) 動作建立防火牆位址物件，並將其新增至適當的位址群組。

這項動作會在 Google SecOps IP Address 實體上執行。

動作輸入內容

「將 IP 新增至群組」動作需要下列參數：

參數	說明
ADOM Name	必填。 要使用的管理網域 (ADOM) 名稱。 預設值為 root。
Address Group Name	必填。 要新增地址物件的地址群組名稱。

動作輸出內容

「將 IP 新增至群組」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「將 IP 新增至群組」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

將網址新增至網址篩選器

使用「將網址新增至網址篩選器」動作，將新的封鎖記錄新增至網址篩選器。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

「將網址加入網址篩選器」動作需要下列參數：

參數	說明
ADOM Name	必填。 要使用的 ADOM 名稱。 預設值為 root。
Url Filter Name	必填。 要新增網址的網址篩選器名稱。

動作輸出內容

「將網址新增至網址篩選器」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「將網址新增至網址篩選器」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

執行指令碼

使用「執行指令碼」動作，在裝置群組上執行現有指令碼。如要在單一裝置上執行這項動作，請提供虛擬網域 (VDOM)。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「執行指令碼」動作需要下列參數：

參數	說明
ADOM Name	必填。 要執行指令碼的 ADOM 名稱。
Policy Package Name	必填。 要執行指令碼的政策套件完整名稱，包括套件名稱和所有父項資料夾。
Script Name	必填。 要在 FortiManager 中執行的指令碼名稱。
Device Name	必填。 要執行指令碼的裝置名稱。
VDOM	選填。 要執行指令碼的裝置 VDOM。

動作輸出內容

「執行指令碼」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「執行指令碼」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
task_id	TASK_ID

取得工作資訊

使用「Get Task Information」(取得工作資訊) 動作，透過工作 ID 取得工作資訊。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「取得工作資訊」動作需要下列參數：

參數	說明
Task ID	必填。 要擷取資訊的 FortiManager 工作 ID。

動作輸出內容

「取得工作資訊」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「取得工作資訊」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

乒乓

使用「Ping」動作測試與 FortiManager 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

無

動作輸出內容

「Ping」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「Ping」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

從群組中移除 IP

使用「從群組中移除 IP」動作，從位址群組中移除防火牆位址物件，並刪除該物件。

這項動作會在 Google SecOps IP Address 實體上執行。

動作輸入內容

「從群組移除 IP」動作需要下列參數：

參數	說明
ADOM Name	必填。 要執行動作的 ADOM 名稱。 預設值為 root。
Address Group Name	必填。 要從中移除位址物件的位址群組名稱。

動作輸出內容

「從群組移除 IP」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「從群組中移除 IP」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

從網址篩選器中移除網址

使用「從網址篩選器中移除網址」動作，從網址篩選器中移除封鎖記錄。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

「從網址篩選器中移除網址」動作需要下列參數：

參數	說明
ADOM Name	必填。 要執行動作的 ADOM 名稱。 預設值為 root。
Url Filter Name	必填。 要從中移除網址的網址篩選器名稱。

動作輸出內容

「從網址篩選器中移除網址」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
指令碼結果	可用

指令碼結果

下表列出使用「從網址篩選器中移除網址」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
is_success	True或False

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。