FortiAnalyzer
Versión de integración: 5.0
Cómo configurar la integración de FortiAnalyzer en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{ip address} | Sí | Es la raíz de la API de la instancia de FortiAnalyzer. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de FortiAnalyzer. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de FortiAnalyzer. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión a FortiAnalyzer sea válido. |
Acciones
Agregar comentario a la alerta
Descripción
Agrega un comentario a la alerta en FortiAnalyzer.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Comentario | String | N/A | Sí | Especifica el comentario de la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la información devuelta es correcta (is_success=true): "Se agregó correctamente un comentario a la alerta con el ID {id} en FortiAnalyzer". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Add Comment To Alert". Reason: {0}''.format(error.Stacktrace)" Si no se encuentra la alerta: "Error al ejecutar la acción "Agregar comentario a la alerta". Motivo: No se encontró la alerta con el ID {alert id} en FortiAnalyzer. Revisa la ortografía". |
General |
Enriquece entidades
Descripción
Enriquece las entidades con la información de FortiAnalyzer. Entidades admitidas: Nombre de host y dirección IP.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
Enriquecimiento de entidades: prefijo FortiAn_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| adm_usr | adm_usr | Cuando está disponible en JSON |
| compilación | compilación | Cuando está disponible en JSON |
| ip | ip | Cuando está disponible en JSON |
| last_checked | last_checked | Cuando está disponible en JSON |
| last_resync | last_resync | Cuando está disponible en JSON |
| nombre | nombre | Cuando está disponible en JSON |
| sn | sn | Cuando está disponible en JSON |
| os_type | os_type | Cuando está disponible en JSON |
| os_ver | os_ver | Cuando está disponible en JSON |
| patch | patch | Cuando está disponible en JSON |
| platform\_str | platform\_str | Cuando está disponible en JSON |
| version | version | Cuando está disponible en JSON |
| desc | desc | Cuando está disponible en JSON |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de FortiAnalyzer: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se pudo enriquecer la siguiente entidad con información de FortiAnalyzer: {entity.identifier}" Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Título: {entity.identifier} Columnas: Par clave-valor |
Entidad |
Ping
Descripción
Prueba la conectividad con FortiAnalyzer con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente, aparecerá el mensaje "Successfully connected to the BitSight server with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente, se mostrará el mensaje "No se pudo conectar al servidor de BitSight". Error is {0}".format(exception.stacktrace) |
General |
Registros de búsqueda
Descripción
Busca registros en FortiAnalyzer.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de registro | DDL | Tráfico Valores posibles:
|
No | Especifica el tipo de registro que se debe buscar. |
| Filtro que distingue mayúsculas de minúsculas | Casilla de verificación | Desmarcado | No | Si está habilitado, el filtro distingue mayúsculas de minúsculas. |
| Filtro de búsqueda | String | N/A | No | Especifica el filtro de consulta para la búsqueda. |
| ID de dispositivo | String | All\_Fortigate | No | Especifica el ID del dispositivo que se debe buscar. Si no se proporciona nada, la acción busca en All_Fortigate. Ejemplos de valores: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS |
| Período | DDL | Último mes Valores posibles:
|
No | Especifica un período para los resultados. Si se selecciona "Personalizado", también debes proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | String | N/A | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601 |
| Hora de finalización | String | N/A | No | Especifica la hora de finalización de los resultados. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usa la hora actual. |
| Orden de tiempo | DDL | DESC Valores posibles:
|
No | Especifica el orden cronológico en la búsqueda. |
| Cantidad máxima de registros que se devolverán | Número entero | 20 | No | Especifica la cantidad de registros que deseas devolver. El valor predeterminado es 20. El valor máximo es 1,000. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la información devuelta es (is_success=true): "Successfully retrieved logs for the provided criteria in FortiAnalyzer." Si no se devolvió información (is_success=true): "No se encontraron registros para los criterios proporcionados en FortiAnalyzer". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro, se mostrará el mensaje "Error al ejecutar la acción "Search Logs". Reason: {0}''.format(error.Stacktrace)" Si se informa un error en la respuesta: "Error al ejecutar la acción "Search Logs". Motivo: {0}''.format(error/message)" |
General |
Actualizar alerta
Descripción
Actualiza una alerta en FortiAnalyzer.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Confirmar estado | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el estado de procesamiento de compra para la alerta. |
| Marcar como leído | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción marca la alerta como leída. |
| Asignar a | String | N/A | No | Especifica a quién se debe asignar la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la información devuelta es correcta (is_success=true): "Se actualizó correctamente la alerta con el ID {alert id} en FortiAnalyzer". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Actualizar alerta". Reason: {0}''.format(error.Stacktrace) Si no se encuentra la alerta: "Error al ejecutar la acción "Actualizar alerta". Motivo: No se encontró la alerta con el ID {alert id} en FortiAnalyzer. Revisa la ortografía". Si el parámetro "Acknowledge Status" está establecido en "Select One", el parámetro "Mark as Read" está establecido en False y no se proporciona nada en el parámetro "Assign To", se muestra el siguiente mensaje: "Error executing action "Update Alert". Motivo: Al menos uno de los parámetros "Acknowledge Status", "Mark As Read" o "Assign To" debe tener un valor". |
General |
Conectores
FortiAnalyzer: conector de alertas
Descripción
Extrae información sobre las alertas de FortiAnalyzer.
Configura el conector de alertas de FortiAnalyzer en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | siemplify_type | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | event_type | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{ip address} | Sí | Es la raíz de la API de la instancia de FortiAnalyzer. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de FortiAnalyzer. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de FortiAnalyzer. |
| Gravedad más baja que se recuperará | String | Medio | No | Es la gravedad más baja que se debe usar para recuperar alertas. Los valores posibles son: bajo, medio, alto y crítico. Si no se especifica nada, el conector ingiere alertas con todos los niveles de gravedad. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperarán las alertas. |
| Cantidad máxima de alertas para recuperar | Número entero | 20 | No | Es la cantidad de alertas por tipo que se procesan en cada iteración del conector. |
| Usar la lista dinámica como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista dinámica se usa como lista negra. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, el conector verifica que el certificado SSL para la conexión al servidor de FortiAnalyzer sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.