FortiAnalyzer

Versi integrasi: 5.0

Mengonfigurasi integrasi FortiAnalyzer di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Root API String https://{ip address} Ya Root API instance FortiAnalyzer.
Nama pengguna String T/A Ya Nama pengguna akun FortiAnalyzer.
Sandi Sandi T/A Ya Sandi akun FortiAnalyzer.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke FortiAnalyzer valid.

Tindakan

Tambahkan Komentar ke Notifikasi

Deskripsi

Tambahkan komentar ke notifikasi di FortiAnalyzer.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang perlu diperbarui.
Komentar String T/A Ya Tentukan komentar untuk notifikasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success=False
Hasil JSON
{
    "jsonrpc": "2.0",
    "id": "string",
    "result": {
        "status": "done"
    }
}
Repositori Kasus
Jenis hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika informasi yang ditampilkan (is_success=true): "Successfully added a comment to the alert with ID {id} in FortiAnalyzer." (Berhasil menambahkan komentar ke pemberitahuan dengan ID {id} di FortiAnalyzer.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Komentar ke Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)"

Jika pemberitahuan tidak ditemukan: "Error executing action "Add Comment To Alert". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di FortiAnalyzer. Periksa ejaan."

 Umum

Memperkaya entitas

Deskripsi

Memperkaya entitas menggunakan informasi dari FortiAnalyzer. Entitas yang didukung: Nama Host, Alamat IP.

Parameter

T/A

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Hostname
  • Alamat IP

Hasil Tindakan

Hasil Skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success=False
Hasil JSON
{
    "adm_pass": [
        "ENC",
        "FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
    ],
    "adm_usr": "admin",
    "app_ver": "",
    "av_ver": "",
    "beta": -1,
    "branch_pt": 1255,
    "build": 1255,
    "checksum": "",
    "conf_status": 0,
    "conn_mode": 0,
    "conn_status": 0,
    "db_status": 0,
    "desc": "",
    "dev_status": 0,
    "eip": "",
    "fap_cnt": 0,
    "faz.full_act": 0,
    "faz.perm": 15,
    "faz.quota": 0,
    "faz.used": 0,
    "fex_cnt": 0,
    "first_tunnel_up": 0,
    "flags": 2097152,
    "foslic_cpu": 0,
    "foslic_dr_site": 0,
    "foslic_inst_time": 0,
    "foslic_last_sync": 0,
    "foslic_ram": 0,
    "foslic_type": 0,
    "foslic_utm": 0,
    "fsw_cnt": 0,
    "ha_group_id": 0,
    "ha_group_name": "",
    "ha_mode": 0,
    "ha_slave": null,
    "hdisk_size": 0,
    "hostname": "",
    "hw_rev_major": 0,
    "hw_rev_minor": 0,
    "hyperscale": 0,
    "ip": "172.30.203.248",
    "ips_ext": 0,
    "ips_ver": "",
    "last_checked": 1665664693,
    "last_resync": 0,
    "latitude": "0.0",
    "lic_flags": 0,
    "lic_region": "",
    "location_from": "",
    "logdisk_size": 0,
    "longitude": "0.0",
    "maxvdom": 10,
    "mgmt.__data[0]": 0,
    "mgmt.__data[1]": 0,
    "mgmt.__data[2]": 0,
    "mgmt.__data[3]": 0,
    "mgmt.__data[4]": 0,
    "mgmt.__data[5]": 0,
    "mgmt.__data[6]": 0,
    "mgmt.__data[7]": 0,
    "mgmt_if": "",
    "mgmt_mode": 2,
    "mgmt_uuid": "1841991674",
    "mgt_vdom": "",
    "module_sn": "",
    "mr": 2,
    "name": "FGVMEV2YKQ61YQD5",
    "node_flags": 0,
    "nsxt_service_name": "",
    "oid": 181,
    "onboard_rule": null,
    "opts": 0,
    "os_type": 0,
    "os_ver": 7,
    "patch": 2,
    "platform_str": "FortiGate-VM64",
    "prefer_img_ver": "",
    "prio": 0,
    "private_key": "",
    "private_key_status": 0,
    "psk": "",
    "role": 0,
    "sn": "FGVMEV2YKQ61YQD5",
    "source": 2,
    "tab_status": "",
    "tunnel_cookie": "",
    "tunnel_ip": "",
    "vdom": [
        {
            "comments": null,
            "devid": "FGVMEV2YKQ61YQD5",
            "ext_flags": 0,
            "flags": 0,
            "name": "root",
            "node_flags": 0,
            "oid": 3,
            "opmode": 1,
            "rtm_prof_id": 0,
            "status": null,
            "tab_status": null,
            "vdom_type": 1,
            "vpn_id": 0
        }
    ],
    "version": 700,
    "vm_cpu": 0,
    "vm_cpu_limit": 0,
    "vm_lic_expire": 0,
    "vm_mem": 0,
    "vm_mem_limit": 0,
    "vm_status": 0
}
Pengayaan Entitas - Awalan FortiAn_
Nama Kolom Pengayaan Sumber (Kunci JSON) Logika - Kapan harus diterapkan
adm_usr adm_usr Jika tersedia dalam JSON
build build Jika tersedia dalam JSON
ip ip Jika tersedia dalam JSON
last_checked last_checked Jika tersedia dalam JSON
last_resync last_resync Jika tersedia dalam JSON
nama nama Jika tersedia dalam JSON
sn sn Jika tersedia dalam JSON
os_type os_type Jika tersedia dalam JSON
os_ver os_ver Jika tersedia dalam JSON
patch patch Jika tersedia dalam JSON
platform\_str platform\_str Jika tersedia dalam JSON
versi versi Jika tersedia dalam JSON
menurun menurun Jika tersedia dalam JSON
Repositori Kasus
Jenis hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika data tersedia untuk satu entitas (is_success=true): "Berhasil memperkaya entitas berikut menggunakan informasi dari FortiAnalyzer: {entity.identifier}".

Jika data tidak tersedia untuk satu entitas (is_success=true): "Tindakan tidak dapat memperkaya entitas berikut menggunakan informasi dari FortiAnalyzer: {entity.identifier}"

Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Judul: {entity.identifier}

Kolom:

Nilai Kunci

 Entity

Ping

Deskripsi

Uji konektivitas ke FortiAnalyzer dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Dijalankan pada

Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success=False
Hasil JSON
N/A
Repositori Kasus
Jenis hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the BitSight server with the provided connection parameters!" (Berhasil terhubung ke server BitSight dengan parameter koneksi yang diberikan).

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika tidak berhasil: "Gagal terhubung ke server BitSight! Error adalah {0}".format(exception.stacktrace)

 Umum

Menelusuri Log

Deskripsi

Menelusuri log di FortiAnalyzer.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Jenis Log DDL

Traffic

Nilai yang memungkinkan:

  • Traffic
  • Kontrol Aplikasi
  • Serangan
  • Konten, DLP
  • Filter Email
  • Acara, Sejarah
  • Virus
  • VOIP
  • Filter Web
  • Netscan
  • Peristiwa FCT
  • Traffic FCT
  • WAF
  • GTP
 Tidak Tentukan jenis log yang perlu dicari.
Filter Peka Huruf Besar/Kecil Kotak centang Tidak dicentang Tidak Jika diaktifkan, filter peka huruf besar/kecil.
Filter Kueri String T/A Tidak Tentukan filter kueri untuk penelusuran.
ID Perangkat String All\_Fortigate Tidak

Tentukan ID perangkat yang perlu ditelusuri.

Jika tidak ada yang diberikan, tindakan akan menelusuri di All_Fortigate.

Contoh nilai: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS
Jangka Waktu DDL

Sebulan Terakhir

Nilai yang Mungkin:

  • Sejam Terakhir
  • 6 Jam Terakhir
  • 24 Jam Terakhir
  • Seminggu Terakhir
  • Sebulan Terakhir
  • Kustom
 Tidak

Tentukan jangka waktu untuk hasil.

Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai".
Waktu Mulai String T/A Tidak

Tentukan waktu mulai untuk hasil.

Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu".

Format: ISO 8601
Waktu Berakhir String T/A Tidak

Tentukan waktu berakhir untuk hasil.

Format: ISO 8601.

Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini.
Urutan Waktu DDL

DESC

Nilai yang memungkinkan:

  • DESC
  • ASC
 Tidak Tentukan urutan waktu dalam penelusuran.
Jumlah Maksimum Log yang Akan Ditampilkan Bilangan bulat 20 Tidak Tentukan jumlah log yang ingin Anda tampilkan. Default: 20. Maksimum: 1000.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success=False
Hasil JSON
{
    "sessionid": "29658",
    "srcip": "172.30.201.188",
    "dstip": "173.243.138.210",
    "srcport": "17453",
    "dstport": "443",
    "trandisp": "noop",
    "duration": "1",
    "proto": "6",
    "sentbyte": "216",
    "rcvdbyte": "112",
    "sentpkt": "4",
    "rcvdpkt": "2",
    "logid": "0001000014",
    "service": "HTTPS",
    "app": "HTTPS",
    "appcat": "unscanned",
    "srcintfrole": "undefined",
    "dstintfrole": "undefined",
    "eventtime": "1665752066921638736",
    "srccountry": "Reserved",
    "dstcountry": "Canada",
    "srcintf": "root",
    "dstintf": "port1",
    "dstowner": "540",
    "tz": "-0700",
    "devid": "FGVMEV2YKQ61YQD5",
    "vd": "root",
    "csf": "FortiNetFabric",
    "dtime": "2022-10-14 05:54:27",
    "itime_t": "1665752069",
    "devname": "FGVMEV2YKQ61YQD5"
}{
    "date": "2022-10-14",
    "time": "05:54:27",
    "id": "7154350659607724033",
    "itime": "2022-10-14 05:54:29",
    "euid": "102",
    "epid": "102",
    "dsteuid": "102",
    "dstepid": "102",
    "logver": "702021255",
    "type": "traffic",
    "subtype": "local",
    "level": "notice",
    "action": "close",
    "policyid": "0"
}
Repositori Kasus
Jenis hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika informasi yang ditampilkan (is_success=true): "Successfully retrieved logs for the provided criteria in FortiAnalyzer." (Berhasil mengambil log untuk kriteria yang diberikan di FortiAnalyzer.)

Jika tidak ada informasi yang ditampilkan (is_success=true): "No logs were found for the provided criteria in FortiAnalyzer." (Tidak ada log yang ditemukan untuk kriteria yang diberikan di FortiAnalyzer.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Search Logs". Alasan: {0}''.format(error.Stacktrace)"

Jika error dilaporkan dalam respons: "Error executing action "Search Logs". Alasan: {0}''.format(error/message)"

 Umum

Perbarui pemberitahuan

Deskripsi

Perbarui pemberitahuan di FortiAnalyzer.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang perlu diperbarui.
Status Konfirmasi DDL

Pilih Satu

Nilai yang memungkinkan:

  • Pilih Satu
  • Konfirmasi
  • Batalkan konfirmasi
 Tidak Tentukan status konfirmasi untuk pemberitahuan.
Tandai Sebagai Sudah Dibaca Kotak centang Tidak dicentang Tidak Jika diaktifkan, tindakan ini akan menandai pemberitahuan sebagai sudah dibaca.
Tetapkan Kepada String T/A Tidak Tentukan kepada siapa notifikasi harus ditetapkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success=False
Hasil JSON
{
    "alerttime": "1665653864",
    "logcount": "17",
    "alertid": "202210131000040003",
    "adom": "root",
    "epid": "1",
    "epname": "not implemented dev type",
    "subject": "desc:Trim local db",
    "euid": "1",
    "euname": "N/A",
    "devname": "fortianalyzer",
    "logtype": "event",
    "devtype": "FortiAnalyzer",
    "devid": "FAZ-VMTM22013516",
    "vdom": "_self_locallog_",
    "groupby1": "desc:Trim local db",
    "triggername": "Local Device Event",
    "tag": "Default,System,Local",
    "eventtype": "event",
    "severity": "medium",
    "extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
    "ackflag": "no",
    "readflag": "yes",
    "filterkey": "3377053565526629289",
    "firstlogtime": "1665653864",
    "multiflag": "",
    "lastlogtime": "1665653887",
    "updatetime": "1665747977",
    "filtercksum": "2072153473",
    "filterid": "1",
    "assignto": "api_user",
    "ackby": "admin",
    "acktime": "1665747892"
}
Repositori Kasus
Jenis hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika informasi yang ditampilkan (is_success=true): "Berhasil memperbarui pemberitahuan dengan ID {alert id} di FortiAnalyzer."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

Jika pemberitahuan tidak ditemukan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di FortiAnalyzer. Periksa ejaan."

Jika parameter "Status Konfirmasi" disetel ke "Pilih Salah Satu", parameter "Tandai sebagai Sudah Dibaca" disetel ke False, dan tidak ada yang diberikan dalam parameter "Tetapkan Ke": "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: setidaknya salah satu parameter "Status Konfirmasi", "Tandai Sebagai Sudah Dibaca", atau "Tetapkan Ke" harus memiliki nilai ."

 Umum

Konektor

FortiAnalyzer - Alerts Connector

Deskripsi

Menarik informasi tentang peringatan dari FortiAnalyzer.

Mengonfigurasi FortiAnalyzer - Alerts Connector di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String siemplify_type Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa String event_type Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan String .* Tidak

Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan".

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex.

Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API String https://{ip address} Ya Root API instance FortiAnalyzer.
Nama pengguna String T/A Ya Nama pengguna akun FortiAnalyzer.
Sandi Sandi T/A Ya Sandi akun FortiAnalyzer.
Tingkat Keparahan Terendah yang Akan Diambil String Sedang Tidak

Tingkat keparahan terendah yang perlu digunakan untuk mengambil pemberitahuan.

Kemungkinan nilai: rendah, sedang, tinggi, kritis. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.
Maks. Jam Mundur Bilangan bulat 1 Tidak Jumlah jam dari tempat untuk mengambil pemberitahuan.
Jumlah Maksimum Pemberitahuan yang Akan Diambil Bilangan bulat 20 Tidak Jumlah pemberitahuan per jenis yang akan diproses per satu iterasi konektor.
Menggunakan daftar dinamis sebagai daftar hitam Kotak centang Tidak dicentang Ya Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, konektor akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server FortiAnalyzer valid.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.

Aturan konektor

Dukungan proxy

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.