FortiAnalyzer
Versão de integração: 5.0
Configure a integração do FortiAnalyzer no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
---|---|---|---|---|
Raiz da API | String | https://{ip address} | Sim | Raiz da API da instância do FortiAnalyzer. |
Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do FortiAnalyzer. |
Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do FortiAnalyzer. |
Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao FortiAnalyzer é válido. |
Ações
Adicionar comentário ao alerta
Descrição
Adicione um comentário ao alerta no FortiAnalyzer.
Parâmetros
Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
---|---|---|---|---|
ID do alerta | String | N/A | Sim | Especifique o ID do alerta que tem de ser atualizado. |
Comentário | String | N/A | Sim | Especifique o comentário para o alerta. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valores | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
Case Wall
Tipo de resultado | Valor / descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se as informações devolvidas forem (is_success=true): "Foi adicionado um comentário com êxito ao alerta com o ID {id} no FortiAnalyzer." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {0}''.format(error.Stacktrace)" Se o alerta não for encontrado: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: não foi possível encontrar o alerta com o ID {alert id} no FortiAnalyzer. Verifique a ortografia." |
Geral |
Enriqueça entidades
Descrição
Enriqueça as entidades com informações do FortiAnalyzer. Entidades suportadas: Nome do anfitrião, endereço IP.
Parâmetros
N/A
É apresentado em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valores | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
Enriquecimento de entidades – Prefixo FortiAn_
Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
---|---|---|
adm_usr | adm_usr | Quando estiver disponível em JSON |
criar | criar | Quando estiver disponível em JSON |
ip | ip | Quando estiver disponível em JSON |
last_checked | last_checked | Quando estiver disponível em JSON |
last_resync | last_resync | Quando estiver disponível em JSON |
nome | nome | Quando estiver disponível em JSON |
sn | sn | Quando estiver disponível em JSON |
os_type | os_type | Quando estiver disponível em JSON |
os_ver | os_ver | Quando estiver disponível em JSON |
patch | patch | Quando estiver disponível em JSON |
platform\_str | platform\_str | Quando estiver disponível em JSON |
versão | versão | Quando estiver disponível em JSON |
desc | desc | Quando estiver disponível em JSON |
Case Wall
Tipo de resultado | Valor / descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do FortiAnalyzer: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do FortiAnalyzer: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tabela de parede da caixa | Título: {entity.identifier} Colunas: Valor-chave |
Entidade |
Tchim-tchim
Descrição
Teste a conetividade ao FortiAnalyzer com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
É apresentado em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valores | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Case Wall
Tipo de resultado | Valor / descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor do BitSight estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor BitSight! O erro é {0}".format(exception.stacktrace) |
Geral |
Registos de pesquisa
Descrição
Pesquise registos no FortiAnalyzer.
Parâmetros
Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
---|---|---|---|---|
Tipo de registo | LDD | Trânsito Valores possíveis:
|
Não | Especifique o tipo de registo que tem de ser pesquisado. |
Filtro sensível a maiúsculas e minúsculas | Caixa de verificação | Desmarcado | Não | Se estiver ativado, o filtro é sensível a maiúsculas e minúsculas. |
Filtro de consulta | String | N/A | Não | Especifique o filtro de consulta para a pesquisa. |
ID do dispositivo | String | All\_Fortigate | Não | Especifique o ID do dispositivo que tem de ser pesquisado. Se não for fornecido nada, a ação pesquisa em All_Fortigate. Exemplos de valores: All_FortiGate, All_FortiMail, All_FortiWeb, All_FortiManager, All_Syslog, All_FortiClient, All_FortiCache, All_FortiProxy, All_FortiAnalyzer, All_FortiSandbox, All_FortiAuthenticator, All_FortiDDoS |
Intervalo de tempo | LDD | Mês passado Valores possíveis:
|
Não | Especifique um período para os resultados. Se "Personalizado" estiver selecionado, também tem de fornecer o parâmetro "Hora de início". |
Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 |
Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Formato: ISO 8601. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. |
Ordem cronológica | LDD | DESC Valores possíveis:
|
Não | Especifique a ordem cronológica na pesquisa. |
Máximo de registos a devolver | Número inteiro | 20 | Não | Especifique o número de registos que quer devolver. Predefinição: 20. Máximo: 1000. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valores | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
Case Wall
Tipo de resultado | Valor / descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se as informações devolvidas forem (is_success=true): "Successfully retrieved logs for the provided criteria in FortiAnalyzer." (Registos obtidos com êxito para os critérios fornecidos no FortiAnalyzer.) Se não forem devolvidas informações (is_success=true): "Não foram encontrados registos para os critérios fornecidos no FortiAnalyzer." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Pesquisar registos". Motivo: {0}''.format(error.Stacktrace)" Se for comunicado um erro na resposta: "Error executing action "Search Logs". Motivo: {0}''.format(error/message)" |
Geral |
Atualizar alerta
Descrição
Atualize um alerta no FortiAnalyzer.
Parâmetros
Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
---|---|---|---|---|
ID do alerta | String | N/A | Sim | Especifique o ID do alerta que tem de ser atualizado. |
Estado de confirmação | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado de confirmação do alerta. |
Marcar como lida | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação marca o alerta como lido. |
Atribuir a | String | N/A | Não | Especifique a quem o alerta tem de ser atribuído. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valores | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
Case Wall
Tipo de resultado | Valor / descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se as informações devolvidas forem (is_success=true): "O alerta com o ID {alert id} foi atualizado com êxito no FortiAnalyzer." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar alerta". Motivo: {0}''.format(error.Stacktrace) Se o alerta não for encontrado: "Erro ao executar a ação "Atualizar alerta". Motivo: não foi possível encontrar o alerta com o ID {alert id} no FortiAnalyzer. Verifique a ortografia." Se o parâmetro "Acknowledge Status" estiver definido como "Select One", o parâmetro "Mark as Read" estiver definido como False e não for fornecido nada no parâmetro "Assign To": "Error executing action "Update Alert". Motivo: pelo menos um dos parâmetros "Acknowledge Status", "Mark As Read" ou "Assign To" deve ter um valor. |
Geral |
Conetores
FortiAnalyzer – Conetor de alertas
Descrição
Extrair informações sobre alertas do FortiAnalyzer.
Configure o conetor de alertas do FortiAnalyzer no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
---|---|---|---|---|
Nome do campo do produto | String | siemplify_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
Nome do campo de evento | String | event_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
Raiz da API | String | https://{ip address} | Sim | Raiz da API da instância do FortiAnalyzer. |
Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do FortiAnalyzer. |
Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do FortiAnalyzer. |
Gravidade mais baixa a obter | String | Médio | Não | A gravidade mais baixa que tem de ser usada para obter alertas. Valores possíveis: baixo, médio, elevado, crítico. Se não for especificado nada, o conector carrega alertas com todas as gravidades. |
Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter alertas. |
Máximo de alertas a obter | Número inteiro | 20 | Não | Número de alertas por tipo a processar por iteração de um conetor. |
Use uma lista dinâmica como lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista negra. |
Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, o conetor verifica se o certificado SSL para a ligação ao servidor FortiAnalyzer é válido. |
Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.