FortiAnalyzer
整合版本:5.0
在 Google Security Operations 中設定 FortiAnalyzer 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{ip address} | 是 | FortiAnalyzer 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | FortiAnalyzer 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | FortiAnalyzer 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連線至 FortiAnalyzer 的 SSL 憑證是否有效。 |
動作
新增快訊註解
說明
在 FortiAnalyzer 中為快訊新增註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要更新的快訊 ID。 |
| 註解 | 字串 | 不適用 | 是 | 指定快訊的註解。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果傳回的資訊為 (is_success=true):「Successfully added a comment to the alert with ID {id} in FortiAnalyzer.」(已在 FortiAnalyzer 中成功為 ID 為 {id} 的快訊新增註解。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器或其他錯誤:「Error executing action "Add Comment To Alert"。Reason: {0}''.format(error.Stacktrace)" 如果找不到快訊:「Error executing action "Add Comment To Alert". 原因:FortiAnalyzer 中找不到 ID 為 {alert id} 的快訊。請檢查拼字。」 |
一般 |
充實實體
說明
使用 FortiAnalyzer 的資訊擴充實體。支援的實體: 主機名稱、IP 位址。
參數
不適用
執行日期
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
實體擴充 - 前置字串 FortiAn_
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| adm_usr | adm_usr | 以 JSON 格式提供時 |
| 建構 | 建構 | 以 JSON 格式提供時 |
| ip | ip | 以 JSON 格式提供時 |
| last_checked | last_checked | 以 JSON 格式提供時 |
| last_resync | last_resync | 以 JSON 格式提供時 |
| 名稱 | 名稱 | 以 JSON 格式提供時 |
| sn | sn | 以 JSON 格式提供時 |
| os_type | os_type | 以 JSON 格式提供時 |
| os_ver | os_ver | 以 JSON 格式提供時 |
| patch | patch | 以 JSON 格式提供時 |
| platform\_str | platform\_str | 以 JSON 格式提供時 |
| 版本 | 版本 | 以 JSON 格式提供時 |
| 遞減 | 遞減 | 以 JSON 格式提供時 |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success=true):「Successfully enriched the following entities using information from FortiAnalyzer: {entity.identifier}」(已使用 FortiAnalyzer 的資訊,成功擴充下列實體:{entity.identifier})。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from FortiAnalyzer: {entity.identifier}」(Action 無法使用 FortiAnalyzer 的資訊擴充下列實體:{entity.identifier}) 如果所有實體都沒有資料 (is_success=false):「提供的實體皆未經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 標題:{entity.identifier} 欄: 鍵/值 |
實體 |
乒乓
說明
在 Google Security Operations Marketplace 分頁的整合設定頁面中,使用提供的參數測試與 FortiAnalyzer 的連線。
參數
不適用
執行日期
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the BitSight server with the provided connection parameters!」(已使用提供的連線參數成功連線至 BitSight 伺服器!) 動作應會失敗並停止執行應對手冊: 如果連線失敗:「Failed to connect to the BitSight server! Error is {0}".format(exception.stacktrace) |
一般 |
搜尋記錄
說明
在 FortiAnalyzer 中搜尋記錄。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 記錄類型 | DDL | 流量 可能的值包括:
|
否 | 指定要搜尋的記錄類型。 |
| 區分大小寫的篩選條件 | 核取方塊 | 已取消勾選 | 否 | 啟用後,篩選器會區分大小寫。 |
| 查詢篩選器 | 字串 | 不適用 | 否 | 指定搜尋的查詢篩選器。 |
| 裝置 ID | 字串 | All\_Fortigate | 否 | 指定要搜尋的裝置 ID。 如果未提供任何內容,動作會在 All_Fortigate 中搜尋。 值範例:All_FortiGate、All_FortiMail、All_FortiWeb、All_FortiManager、All_Syslog、All_FortiClient、All_FortiCache、All_FortiProxy、All_FortiAnalyzer、All_FortiSandbox、All_FortiAuthenticator、All_FortiDDoS |
| 時間範圍 | DDL | 上個月 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定結果的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 |
| 結束時間 | 字串 | 不適用 | 否 | 指定結果的結束時間。 格式:ISO 8601。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 |
| 時間順序 | DDL | 遞減 可能的值包括:
|
否 | 在搜尋中指定時間排序。 |
| 要傳回的記錄數量上限 | 整數 | 20 | 否 | 指定要傳回的記錄數量。預設值為 20。上限為 1000。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果傳回的資訊 (is_success=true):「Successfully retrieved logs for the provided criteria in FortiAnalyzer.」(已成功擷取 FortiAnalyzer 中符合所提供條件的記錄。) 如果未傳回任何資訊 (is_success=true):「FortiAnalyzer 中找不到符合所提供條件的記錄。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Search Logs"」。Reason: {0}''.format(error.Stacktrace)" 如果回應中回報錯誤:「Error executing action "Search Logs". Reason: {0}''.format(error/message)" |
一般 |
更新快訊
說明
在 FortiAnalyzer 中更新快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要更新的快訊 ID。 |
| 確認狀態 | DDL | 請選取一項 可能的值包括:
|
否 | 指定快訊的確認狀態。 |
| 標示為已讀 | 核取方塊 | 已取消勾選 | 否 | 啟用後,系統會將快訊標示為已讀。 |
| 指派對象 | 字串 | 不適用 | 否 | 指定要將快訊指派給誰。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果傳回的資訊為 (is_success=true):「Successfully updated alert with ID {alert id} in FortiAnalyzer.」(已在 FortiAnalyzer 中成功更新 ID 為 {alert id} 的快訊。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Update Alert" (執行「更新快訊」動作時發生錯誤)。原因:{0}''.format(error.Stacktrace) 如果找不到快訊:「Error executing action "Update Alert". 原因:FortiAnalyzer 中找不到 ID 為 {alert id} 的快訊。請檢查拼字。」 如果「確認狀態」參數設為「選取一項」,「標示為已讀」參數設為 False,且「指派給」參數中未提供任何內容:「執行動作『更新快訊』時發生錯誤。原因:「確認狀態」、「標示為已讀」或「指派給」參數中,至少應有一個值。 |
一般 |
連接器
FortiAnalyzer - 警報連接器
說明
從 FortiAnalyzer 提取快訊相關資訊。
在 Google SecOps 中設定 FortiAnalyzer - 快訊連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | siemplify_type | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | event_type | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{ip address} | 是 | FortiAnalyzer 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | FortiAnalyzer 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | FortiAnalyzer 帳戶的密碼。 |
| 要擷取的最低嚴重程度 | 字串 | 中 | 否 | 用於擷取快訊的最低嚴重程度。 可能的值:低、中、高、重大。如未指定任何項目,連接器會擷取所有嚴重程度的快訊。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 要擷取的警告數上限 | 整數 | 20 | 否 | 每個連接器疊代要處理的每種警報數量。 |
| 將動態清單設為黑名單 | 核取方塊 | 已取消勾選 | 是 | 如果啟用,動態清單會做為黑名單使用。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,連接器會驗證連至 FortiAnalyzer 伺服器的連線 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。