FortiAnalyzer
Versi integrasi: 5.0
Sebelum memulai
Sebelum mengonfigurasi integrasi FortiAnalyzer di Google SecOps, Anda harus membuat profil administrator khusus dengan izin berikut:
| Kategori | Tingkat Izin |
|---|---|
| Setelan Sistem | Tidak ada |
| Domain Administratif | Tidak ada |
| Pengelola Perangkat | Hanya Baca |
| Menambahkan/Menghapus/Mengedit Perangkat/Grup | Hanya Baca |
| Log View/FortiView | Hanya Baca |
| Insiden & Peristiwa | Baca-Tulis |
| Membuat & Memperbarui Insiden | Baca-Tulis |
| Triage Event | Tidak ada |
| Jalankan Playbook | Tidak ada |
| Laporan | Tidak ada |
| Jalankan Laporan | Tidak ada |
| Tampilan Fabric | Tidak ada |
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{ip address} | Ya | Root API instance FortiAnalyzer. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun FortiAnalyzer. Pastikan kredensial yang diberikan adalah milik akun pengguna yang ditetapkan ke profil yang ditentukan di Sebelum Anda memulai. |
| Sandi | Sandi | T/A | Ya | Sandi akun FortiAnalyzer. Pastikan kredensial yang diberikan adalah milik akun pengguna yang ditetapkan ke profil yang ditentukan di Sebelum Anda memulai. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke FortiAnalyzer valid. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Menambahkan Komentar ke Notifikasi
Deskripsi
Tambahkan komentar ke notifikasi di FortiAnalyzer.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Komentar | String | T/A | Ya | Tentukan komentar untuk notifikasi. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika informasi yang ditampilkan (is_success=true): "Successfully added a comment to the alert with ID {id} in FortiAnalyzer." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Add Comment To Alert". Reason: {0}''.format(error.Stacktrace)" Jika pemberitahuan tidak ditemukan: "Error executing action "Add Comment To Alert". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di FortiAnalyzer. Periksa ejaan." |
Umum |
Memperkaya entitas
Deskripsi
Memperkaya entitas menggunakan informasi dari FortiAnalyzer. Entitas yang didukung: Nama Host, Alamat IP.
Parameter
T/A
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
Pengayaan Entitas - Awalan FortiAn_
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| adm_usr | adm_usr | Jika tersedia dalam JSON |
| build | build | Jika tersedia dalam JSON |
| ip | ip | Jika tersedia dalam JSON |
| last_checked | last_checked | Jika tersedia dalam JSON |
| last_resync | last_resync | Jika tersedia dalam JSON |
| nama | nama | Jika tersedia dalam JSON |
| sn | sn | Jika tersedia dalam JSON |
| os_type | os_type | Jika tersedia dalam JSON |
| os_ver | os_ver | Jika tersedia dalam JSON |
| patch | patch | Jika tersedia dalam JSON |
| platform\_str | platform\_str | Jika tersedia dalam JSON |
| versi | versi | Jika tersedia dalam JSON |
| menurun | menurun | Jika tersedia dalam JSON |
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu entitas (is_success=true): "Successfully enriched the following entities using information from FortiAnalyzer: {entity.identifier}". Jika data tidak tersedia untuk satu entitas (is_success=true): "Action wasn't able to enrich the following entities using information from FortiAnalyzer: {entity.identifier}" Jika data tidak tersedia untuk semua entitas (is_success=false): "None of the provided entities were enriched" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Judul: {entity.identifier} Kolom: Nilai Kunci |
Entitas |
Ping
Deskripsi
Uji konektivitas ke FortiAnalyzer dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Dijalankan pada
Tindakan ini tidak berjalan di entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
N/A
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the BitSight server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Failed to connect to the BitSight server! Error is {0}".format(exception.stacktrace) |
Umum |
Log Penelusuran
Deskripsi
Telusuri log di FortiAnalyzer.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Log | DDL | Lalu lintas Kemungkinan nilai:
|
Tidak | Tentukan jenis log yang perlu dicari. |
| Filter Peka Huruf Besar/Kecil | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, filter peka huruf besar/kecil. |
| Filter Kueri | String | T/A | Tidak | Tentukan filter kueri untuk penelusuran. |
| ID Perangkat | String | All\_Fortigate | Tidak | Tentukan ID perangkat yang perlu ditelusuri. Jika tidak ada yang diberikan, tindakan akan menelusuri di All_Fortigate. Contoh nilai: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS |
| Jangka Waktu | DDL | Sebulan Terakhir Nilai yang Mungkin:
|
Tidak | Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai". |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk hasil. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir untuk hasil. Format: ISO 8601. Jika tidak ada yang diberikan dan "Kustom" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. |
| Urutan Waktu | DDL | DESC Kemungkinan nilai:
|
Tidak | Tentukan urutan waktu dalam penelusuran. |
| Jumlah Maksimum Log yang Akan Ditampilkan | Bilangan bulat | 20 | Tidak | Tentukan jumlah log yang ingin Anda tampilkan. Default: 20. Maksimum: 1000. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika informasi yang ditampilkan (is_success=true): "Successfully retrieved logs for the provided criteria in FortiAnalyzer." Jika tidak ada informasi yang ditampilkan (is_success=true): "No logs were found for the provided criteria in FortiAnalyzer." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Search Logs". Reason: {0}''.format(error.Stacktrace)" Jika error dilaporkan dalam respons: "Error executing action "Search Logs". Reason: {0}''.format(error/message)" |
Umum |
Perbarui notifikasi
Deskripsi
Perbarui pemberitahuan di FortiAnalyzer.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Status Konfirmasi | DDL | Pilih Salah Satu Kemungkinan nilai:
|
Tidak | Tentukan status konfirmasi untuk pemberitahuan. |
| Tandai Telah Dibaca | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan ini akan menandai pemberitahuan sebagai sudah dibaca. |
| Tetapkan Kepada | String | T/A | Tidak | Tentukan kepada siapa notifikasi harus ditetapkan. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika informasi yang ditampilkan (is_success=true): "Successfully updated alert with ID {alert id} in FortiAnalyzer." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Update Alert". Reason: {0}''.format(error.Stacktrace) Jika pemberitahuan tidak ditemukan: "Error executing action "Update Alert". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di FortiAnalyzer. Periksa ejaan." Jika parameter "Status Konfirmasi" disetel ke "Pilih Salah Satu", parameter "Tandai sebagai Sudah Dibaca" disetel ke False, dan tidak ada yang diberikan dalam parameter "Tetapkan Kepada": "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: setidaknya salah satu parameter "Status Konfirmasi", "Tandai Sebagai Sudah Dibaca", atau "Tetapkan Ke" harus memiliki nilai ." |
Umum |
Konektor
FortiAnalyzer - Alerts Connector
Deskripsi
Menarik informasi tentang peringatan dari FortiAnalyzer.
Mengonfigurasi FortiAnalyzer - Alerts Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | siemplify_type | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | event_type | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{ip address} | Ya | Root API instance FortiAnalyzer. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun FortiAnalyzer. |
| Sandi | Sandi | T/A | Ya | Sandi akun FortiAnalyzer. |
| Tingkat Keparahan Terendah yang Akan Diambil | String | Sedang | Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil pemberitahuan. Kemungkinan nilai: rendah, sedang, tinggi, kritis. Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat untuk mengambil pemberitahuan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 20 | Tidak | Jumlah pemberitahuan per jenis yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, konektor akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server FortiAnalyzer valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk melakukan autentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.