FortiAnalyzer

Versão de integração: 5.0

Configure a integração do FortiAnalyzer no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Raiz da API String https://{ip address} Sim Raiz da API da instância do FortiAnalyzer.
Nome de utilizador String N/A Sim Nome de utilizador da conta do FortiAnalyzer.
Palavra-passe Palavra-passe N/A Sim Palavra-passe da conta do FortiAnalyzer.
Validar SSL Caixa de verificação Marcado Sim Se estiver ativada, verifica se o certificado SSL para a ligação ao FortiAnalyzer é válido.

Ações

Adicionar comentário ao alerta

Descrição

Adicione um comentário ao alerta no FortiAnalyzer.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do alerta String N/A Sim Especifique o ID do alerta que tem de ser atualizado.
Comentário String N/A Sim Especifique o comentário para o alerta.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success=False
Resultado JSON
{
    "jsonrpc": "2.0",
    "id": "string",
    "result": {
        "status": "done"
    }
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se as informações devolvidas forem (is_success=true): "Foi adicionado um comentário com êxito ao alerta com o ID {id} no FortiAnalyzer."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {0}''.format(error.Stacktrace)"

Se o alerta não for encontrado: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: não foi possível encontrar o alerta com o ID {alert id} no FortiAnalyzer. Verifique a ortografia."

Geral

Enriqueça entidades

Descrição

Enriqueça as entidades com informações do FortiAnalyzer. Entidades suportadas: Nome do anfitrião, endereço IP.

Parâmetros

N/A

É apresentado em

Esta ação é executada nas seguintes entidades:

  • Nome do anfitrião
  • Endereço IP

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success=False
Resultado JSON
{
    "adm_pass": [
        "ENC",
        "FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
    ],
    "adm_usr": "admin",
    "app_ver": "",
    "av_ver": "",
    "beta": -1,
    "branch_pt": 1255,
    "build": 1255,
    "checksum": "",
    "conf_status": 0,
    "conn_mode": 0,
    "conn_status": 0,
    "db_status": 0,
    "desc": "",
    "dev_status": 0,
    "eip": "",
    "fap_cnt": 0,
    "faz.full_act": 0,
    "faz.perm": 15,
    "faz.quota": 0,
    "faz.used": 0,
    "fex_cnt": 0,
    "first_tunnel_up": 0,
    "flags": 2097152,
    "foslic_cpu": 0,
    "foslic_dr_site": 0,
    "foslic_inst_time": 0,
    "foslic_last_sync": 0,
    "foslic_ram": 0,
    "foslic_type": 0,
    "foslic_utm": 0,
    "fsw_cnt": 0,
    "ha_group_id": 0,
    "ha_group_name": "",
    "ha_mode": 0,
    "ha_slave": null,
    "hdisk_size": 0,
    "hostname": "",
    "hw_rev_major": 0,
    "hw_rev_minor": 0,
    "hyperscale": 0,
    "ip": "172.30.203.248",
    "ips_ext": 0,
    "ips_ver": "",
    "last_checked": 1665664693,
    "last_resync": 0,
    "latitude": "0.0",
    "lic_flags": 0,
    "lic_region": "",
    "location_from": "",
    "logdisk_size": 0,
    "longitude": "0.0",
    "maxvdom": 10,
    "mgmt.__data[0]": 0,
    "mgmt.__data[1]": 0,
    "mgmt.__data[2]": 0,
    "mgmt.__data[3]": 0,
    "mgmt.__data[4]": 0,
    "mgmt.__data[5]": 0,
    "mgmt.__data[6]": 0,
    "mgmt.__data[7]": 0,
    "mgmt_if": "",
    "mgmt_mode": 2,
    "mgmt_uuid": "1841991674",
    "mgt_vdom": "",
    "module_sn": "",
    "mr": 2,
    "name": "FGVMEV2YKQ61YQD5",
    "node_flags": 0,
    "nsxt_service_name": "",
    "oid": 181,
    "onboard_rule": null,
    "opts": 0,
    "os_type": 0,
    "os_ver": 7,
    "patch": 2,
    "platform_str": "FortiGate-VM64",
    "prefer_img_ver": "",
    "prio": 0,
    "private_key": "",
    "private_key_status": 0,
    "psk": "",
    "role": 0,
    "sn": "FGVMEV2YKQ61YQD5",
    "source": 2,
    "tab_status": "",
    "tunnel_cookie": "",
    "tunnel_ip": "",
    "vdom": [
        {
            "comments": null,
            "devid": "FGVMEV2YKQ61YQD5",
            "ext_flags": 0,
            "flags": 0,
            "name": "root",
            "node_flags": 0,
            "oid": 3,
            "opmode": 1,
            "rtm_prof_id": 0,
            "status": null,
            "tab_status": null,
            "vdom_type": 1,
            "vpn_id": 0
        }
    ],
    "version": 700,
    "vm_cpu": 0,
    "vm_cpu_limit": 0,
    "vm_lic_expire": 0,
    "vm_mem": 0,
    "vm_mem_limit": 0,
    "vm_status": 0
}
Enriquecimento de entidades – Prefixo FortiAn_
Nome do campo de enriquecimento Origem (chave JSON) Lógica: quando aplicar
adm_usr adm_usr Quando estiver disponível em JSON
criar criar Quando estiver disponível em JSON
ip ip Quando estiver disponível em JSON
last_checked last_checked Quando estiver disponível em JSON
last_resync last_resync Quando estiver disponível em JSON
nome nome Quando estiver disponível em JSON
sn sn Quando estiver disponível em JSON
os_type os_type Quando estiver disponível em JSON
os_ver os_ver Quando estiver disponível em JSON
patch patch Quando estiver disponível em JSON
platform\_str platform\_str Quando estiver disponível em JSON
versão versão Quando estiver disponível em JSON
desc desc Quando estiver disponível em JSON
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do FortiAnalyzer: {entity.identifier}".

Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do FortiAnalyzer: {entity.identifier}"

Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace)

Geral
Tabela de parede da caixa

Título: {entity.identifier}

Colunas:

Valor-chave

Entidade

Tchim-tchim

Descrição

Teste a conetividade ao FortiAnalyzer com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

É apresentado em

Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success=False
Resultado JSON
N/A
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação ao servidor do BitSight estabelecida com êxito com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor BitSight! O erro é {0}".format(exception.stacktrace)

Geral

Registos de pesquisa

Descrição

Pesquise registos no FortiAnalyzer.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Tipo de registo LDD

Trânsito

Valores possíveis:

  • Trânsito
  • Controlo de apps
  • Atacar
  • Conteúdo, DLP
  • Filtro de email
  • Evento, Histórico
  • Vírus
  • VOIP
  • Filtro Web
  • Netscan
  • Evento FCT
  • Tráfego de FCT
  • WAF
  • GTP
Não Especifique o tipo de registo que tem de ser pesquisado.
Filtro sensível a maiúsculas e minúsculas Caixa de verificação Desmarcado Não Se estiver ativado, o filtro é sensível a maiúsculas e minúsculas.
Filtro de consulta String N/A Não Especifique o filtro de consulta para a pesquisa.
ID do dispositivo String All\_Fortigate Não

Especifique o ID do dispositivo que tem de ser pesquisado.

Se não for fornecido nada, a ação pesquisa em All_Fortigate.

Exemplos de valores: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS

Intervalo de tempo LDD

Mês passado

Valores possíveis:

  • Última hora
  • Últimas 6 horas
  • Últimas 24 horas
  • Semana passada
  • Mês passado
  • Personalizado
Não

Especifique um período para os resultados.

Se "Personalizado" estiver selecionado, também tem de fornecer o parâmetro "Hora de início".

Hora de início String N/A Não

Especifique a hora de início dos resultados.

Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo".

Formato: ISO 8601

Hora de fim String N/A Não

Especifique a hora de fim dos resultados.

Formato: ISO 8601.

Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual.

Ordem cronológica LDD

DESC

Valores possíveis:

  • DESC
  • ASC
Não Especifique a ordem cronológica na pesquisa.
Máximo de registos a devolver Número inteiro 20 Não Especifique o número de registos que quer devolver. Predefinição: 20. Máximo: 1000.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success=False
Resultado JSON
{
    "sessionid": "29658",
    "srcip": "172.30.201.188",
    "dstip": "173.243.138.210",
    "srcport": "17453",
    "dstport": "443",
    "trandisp": "noop",
    "duration": "1",
    "proto": "6",
    "sentbyte": "216",
    "rcvdbyte": "112",
    "sentpkt": "4",
    "rcvdpkt": "2",
    "logid": "0001000014",
    "service": "HTTPS",
    "app": "HTTPS",
    "appcat": "unscanned",
    "srcintfrole": "undefined",
    "dstintfrole": "undefined",
    "eventtime": "1665752066921638736",
    "srccountry": "Reserved",
    "dstcountry": "Canada",
    "srcintf": "root",
    "dstintf": "port1",
    "dstowner": "540",
    "tz": "-0700",
    "devid": "FGVMEV2YKQ61YQD5",
    "vd": "root",
    "csf": "FortiNetFabric",
    "dtime": "2022-10-14 05:54:27",
    "itime_t": "1665752069",
    "devname": "FGVMEV2YKQ61YQD5"
}{
    "date": "2022-10-14",
    "time": "05:54:27",
    "id": "7154350659607724033",
    "itime": "2022-10-14 05:54:29",
    "euid": "102",
    "epid": "102",
    "dsteuid": "102",
    "dstepid": "102",
    "logver": "702021255",
    "type": "traffic",
    "subtype": "local",
    "level": "notice",
    "action": "close",
    "policyid": "0"
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se as informações devolvidas forem (is_success=true): "Successfully retrieved logs for the provided criteria in FortiAnalyzer." (Registos obtidos com êxito para os critérios fornecidos no FortiAnalyzer.)

Se não forem devolvidas informações (is_success=true): "Não foram encontrados registos para os critérios fornecidos no FortiAnalyzer."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Pesquisar registos". Motivo: {0}''.format(error.Stacktrace)"

Se for comunicado um erro na resposta: "Error executing action "Search Logs". Motivo: {0}''.format(error/message)"

Geral

Atualizar alerta

Descrição

Atualize um alerta no FortiAnalyzer.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do alerta String N/A Sim Especifique o ID do alerta que tem de ser atualizado.
Estado de confirmação LDD

Selecione uma opção

Valores possíveis:

  • Selecione uma opção
  • Confirmar
  • Desconfirmar
Não Especifique o estado de confirmação do alerta.
Marcar como lida Caixa de verificação Desmarcado Não Se estiver ativada, a ação marca o alerta como lido.
Atribuir a String N/A Não Especifique a quem o alerta tem de ser atribuído.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success=False
Resultado JSON
{
    "alerttime": "1665653864",
    "logcount": "17",
    "alertid": "202210131000040003",
    "adom": "root",
    "epid": "1",
    "epname": "not implemented dev type",
    "subject": "desc:Trim local db",
    "euid": "1",
    "euname": "N/A",
    "devname": "fortianalyzer",
    "logtype": "event",
    "devtype": "FortiAnalyzer",
    "devid": "FAZ-VMTM22013516",
    "vdom": "_self_locallog_",
    "groupby1": "desc:Trim local db",
    "triggername": "Local Device Event",
    "tag": "Default,System,Local",
    "eventtype": "event",
    "severity": "medium",
    "extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
    "ackflag": "no",
    "readflag": "yes",
    "filterkey": "3377053565526629289",
    "firstlogtime": "1665653864",
    "multiflag": "",
    "lastlogtime": "1665653887",
    "updatetime": "1665747977",
    "filtercksum": "2072153473",
    "filterid": "1",
    "assignto": "api_user",
    "ackby": "admin",
    "acktime": "1665747892"
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se as informações devolvidas forem (is_success=true): "O alerta com o ID {alert id} foi atualizado com êxito no FortiAnalyzer."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar alerta". Motivo: {0}''.format(error.Stacktrace)

Se o alerta não for encontrado: "Erro ao executar a ação "Atualizar alerta". Motivo: não foi possível encontrar o alerta com o ID {alert id} no FortiAnalyzer. Verifique a ortografia."

Se o parâmetro "Acknowledge Status" estiver definido como "Select One", o parâmetro "Mark as Read" estiver definido como False e não for fornecido nada no parâmetro "Assign To": "Error executing action "Update Alert". Motivo: pelo menos um dos parâmetros "Acknowledge Status", "Mark As Read" ou "Assign To" deve ter um valor.

Geral

Conetores

FortiAnalyzer – Conetor de alertas

Descrição

Extrair informações sobre alertas do FortiAnalyzer.

Configure o conetor de alertas do FortiAnalyzer no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do campo do produto String siemplify_type Sim Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento String event_type Sim Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente String "" Não

Descreve o nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.

Padrão de regex do ambiente String .* Não

Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente".

A predefinição é .* para captar tudo e devolver o valor inalterado.

Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex.

Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.

Limite de tempo do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String https://{ip address} Sim Raiz da API da instância do FortiAnalyzer.
Nome de utilizador String N/A Sim Nome de utilizador da conta do FortiAnalyzer.
Palavra-passe Palavra-passe N/A Sim Palavra-passe da conta do FortiAnalyzer.
Gravidade mais baixa a obter String Médio Não

A gravidade mais baixa que tem de ser usada para obter alertas.

Valores possíveis: baixo, médio, elevado, crítico. Se não for especificado nada, o conector carrega alertas com todas as gravidades.

Máximo de horas para trás Número inteiro 1 Não Número de horas a partir das quais obter alertas.
Máximo de alertas a obter Número inteiro 20 Não Número de alertas por tipo a processar por iteração de um conetor.
Use uma lista dinâmica como lista negra Caixa de verificação Desmarcado Sim Se estiver ativada, a lista dinâmica é usada como uma lista negra.
Validar SSL Caixa de verificação Marcado Sim Se estiver ativado, o conetor verifica se o certificado SSL para a ligação ao servidor FortiAnalyzer é válido.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a usar.
Nome de utilizador do proxy String N/A Não O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy Palavra-passe N/A Não A palavra-passe do proxy para autenticação.

Regras de conector

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.