FortiAnalyzer
통합 버전: 5.0
Google Security Operations에서 FortiAnalyzer 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{ip address} | 예 | FortiAnalyzer 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | FortiAnalyzer 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | FortiAnalyzer 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 FortiAnalyzer 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
작업
알림에 댓글 추가
설명
FortiAnalyzer의 알림에 댓글을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 알림의 ID를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 알림에 대한 의견을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 정보가 반환된 경우 (is_success=true): 'FortiAnalyzer에서 ID {id}인 알림에 댓글을 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림에 의견 추가' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 알림을 찾을 수 없는 경우: "'알림에 의견 추가' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ID가 {alert id}인 알림이 FortiAnalyzer에 없습니다. 철자를 확인하세요." |
일반 |
항목 보강
설명
FortiAnalyzer의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, IP 주소
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
항목 보강 - 접두사 FortiAn_
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| adm_usr | adm_usr | JSON으로 제공되는 경우 |
| 빌드 | 빌드 | JSON으로 제공되는 경우 |
| ip | ip | JSON으로 제공되는 경우 |
| last_checked | last_checked | JSON으로 제공되는 경우 |
| last_resync | last_resync | JSON으로 제공되는 경우 |
| name | name | JSON으로 제공되는 경우 |
| sn | sn | JSON으로 제공되는 경우 |
| os_type | os_type | JSON으로 제공되는 경우 |
| os_ver | os_ver | JSON으로 제공되는 경우 |
| patch | patch | JSON으로 제공되는 경우 |
| platform\_str | platform\_str | JSON으로 제공되는 경우 |
| version | version | JSON으로 제공되는 경우 |
| 내림차순 | 내림차순 | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'FortiAnalyzer: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 FortiAnalyzer: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 제목: {entity.identifier} 열: 키 값 |
항목 |
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 FortiAnalyzer에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 BitSight 서버에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'BitSight 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
로그 검색
설명
FortiAnalyzer에서 로그를 검색합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 로그 유형 | DDL | 트래픽 가능한 값은 다음과 같습니다.
|
아니요 | 검색해야 하는 로그 유형을 지정합니다. |
| 대소문자 구분 필터 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 필터는 대소문자를 구분합니다. |
| 쿼리 필터 | 문자열 | 해당 사항 없음 | 아니요 | 검색 쿼리 필터를 지정합니다. |
| 기기 ID | 문자열 | All\_Fortigate | 아니요 | 검색해야 하는 기기의 ID를 지정합니다. 아무것도 제공하지 않으면 작업이 All_Fortigate에서 검색됩니다. 값의 예: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS |
| 기간 | DDL | 지난달 가능한 값은 다음과 같습니다.
|
No | 결과 기간을 지정합니다. '커스텀'을 선택한 경우 '시작 시간' 매개변수도 제공해야 합니다. |
| 시작 시간 | 문자열 | 해당 사항 없음 | No | 결과 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601 |
| 종료 시간 | 문자열 | 해당 사항 없음 | No | 결과 종료 시간을 지정합니다. 형식: ISO 8601. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. |
| 시간 순서 | DDL | DESC 가능한 값은 다음과 같습니다.
|
아니요 | 검색에서 시간 순서를 지정합니다. |
| 반환할 최대 로그 수 | 정수 | 20 | 아니요 | 반환할 로그 수를 지정합니다. 기본값: 20 최대: 1,000 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 정보가 반환된 경우 (is_success=true): 'FortiAnalyzer에서 제공된 기준에 대한 로그를 가져왔습니다.' 정보가 반환되지 않은 경우 (is_success=true): 'FortiAnalyzer에서 제공된 기준에 대한 로그를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''로그 검색' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 응답에 오류가 보고된 경우: ''로그 검색' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}''.format(error/message)' |
일반 |
알림 업데이트
설명
FortiAnalyzer에서 알림을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 알림의 ID를 지정합니다. |
| 확인 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 알림의 확인 상태를 지정합니다. |
| 읽음으로 표시 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 알림을 읽음으로 표시합니다. |
| 할당 대상 | 문자열 | 해당 사항 없음 | 아니요 | 알림을 할당할 사용자를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 정보가 반환된 경우 (is_success=true): 'FortiAnalyzer에서 ID가 {alert id}인 알림을 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 알림을 찾을 수 없는 경우: "'알림 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: ID가 {alert id}인 알림이 FortiAnalyzer에 없습니다. 철자를 확인하세요." '확인 상태' 매개변수가 '하나 선택'으로 설정되고, '읽음으로 표시' 매개변수가 False로 설정되고, '할당 대상' 매개변수에 아무것도 제공되지 않은 경우: ''알림 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 'Acknowledge Status', 'Mark As Read' 또는 'Assign To' 매개변수 중 하나 이상에 값이 있어야 합니다 .' |
일반 |
커넥터
FortiAnalyzer - Alerts Connector
설명
FortiAnalyzer에서 알림에 관한 정보를 가져옵니다.
Google SecOps에서 FortiAnalyzer - Alerts Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | siemplify_type | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | event_type | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{ip address} | 예 | FortiAnalyzer 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | FortiAnalyzer 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | FortiAnalyzer 계정의 비밀번호입니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 보통 | 아니요 | 알림을 가져오는 데 사용해야 하는 가장 낮은 심각도입니다. 가능한 값: 낮음, 중간, 높음, 심각 아무것도 지정하지 않으면 커넥터가 모든 심각도의 알림을 수집합니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 알림을 가져올 위치로부터의 시간입니다. |
| 가져올 최대 알림 수 | 정수 | 20 | 아니요 | 커넥터 반복당 처리할 유형별 알림 수입니다. |
| 동적 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 커넥터에서 FortiAnalyzer 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.