Fortinet FortiSIEM
整合版本:5.0
在 Google Security Operations 中設定 Fortinet FortiSIEM 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://x.x.x.x:port | 是 | 指定目標 FortiSIEM 安裝作業的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 指定要用於目標 FortiSIEM 安裝作業的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 指定目標 FortiSIEM 安裝作業要使用的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,Google SecOps 伺服器會檢查憑證是否已為 API 根目錄設定。 |
產品用途
- 將 SIEM 的快訊擷取至 Google SecOps。
- 使用 SIEM 資料來豐富 Google SecOps 快訊。
- 將 Google SecOps 快訊的處理狀態同步回 SIEM 端。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 FortiSIEM 的連線。
參數
不適用
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the FortiSIEM installation with the provided connection parameters!」(已使用提供的連線參數,成功連線至 FortiSIEM 安裝項目!) 動作應會失敗並停止執行應對手冊: >如果連線失敗:「Failed to connect to the FortiSIEM installation! 錯誤為「{0}」。format(exception.stacktrace) |
一般 |
充實實體
說明
使用 Fortinet FortiSIEM CMDB 的資訊擴充實體。支援的實體:主機名稱、IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 目標機構 | 字串 | 不適用 | 否 | 指定選填的目標機構名稱,只在這個機構中尋找擴充資訊。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"Entity": "centos-xxx",
"EntityResult": {
"device": {
"organization": {
"@id": "1xx",
"@name": "Super"
},
"accessIp": "172.30.xxx.xxx",
"approved": "true",
"components": null,
"creationMethod": "LOG",
"deviceType": {
"accessProtocols": "TELNET,SSH",
"jobWeight": "10",
"model": "Unix",
"vendor": "Generic",
"version": "ANY"
},
"discoverMethod": "LOG",
"discoverTime": "1640008485000",
"eventParserList": null,
"interfaces": null,
"ipToHostNames": null,
"luns": null,
"name": "centos-xxx",
"naturalId": "centos%2dxxx",
"processors": null,
"properties": {
"customproperty": [
{
"matched": "false",
"propertyDef": {
"displayInCMDB": "false",
"displayName": "Importance",
"groupKey": "false",
"propertyName": "importance",
"subValueType": "STRING",
"valueType": "STRING"
},
"propertyName": "importance",
"propertyValue": "Normal",
"updated": "false"
},
{
"matched": "false",
"propertyDef": {
"displayInCMDB": "false",
"displayName": "Location Name",
"groupKey": "false",
"propertyName": "locationName",
"subValueType": "STRING",
"valueType": "STRING"
},
"propertyName": "locationName",
"updated": "false"
}
]
},
"raidGroups": null,
"sanControllerPorts": null,
"softwarePatches": null,
"softwareServices": null,
"status": "2",
"storageGroups": null,
"storages": null,
"unmanaged": "false",
"updateMethod": "LOG",
"version": "ANY",
"winMachineGuid": null
}
}
},
{
"Entity": "172.30.xxx.xxx",
"EntityResult": {
"device": {
"organization": {
"@id": "1xx",
"@name": "Super"
},
"accessIp": "172.30.xxx.xxx",
"applications": null,
"approved": "true",
"components": null,
"creationMethod": "LOG",
"deviceType": {
"accessProtocols": "TELNET,SSH",
"jobWeight": "10",
"model": "Unix",
"vendor": "Generic",
"version": "ANY"
},
"discoverMethod": "LOG",
"discoverTime": "1640070721000",
"eventParserList": {
"eventparser": {
"deviceType": {
"category": "Appliance",
"jobWeight": "10",
"model": "Generic",
"vendor": "Generic",
"version": "ANY"
},
"enabled": "true",
"name": "SyslogNGParser",
"parserXml": "<patternDefinitions><pattern>..."
}
},
"interfaces": null,
"ipToHostNames": null,
"luns": null,
"name": "centos-xxx",
"naturalId": "centos",
"primaryContactUser": "0",
"processors": null,
"properties": {
"customproperty": [
{
"matched": "false",
"propertyDef": {
"displayInCMDB": "false",
"displayName": "Importance",
"groupKey": "false",
"propertyName": "importance",
"subValueType": "STRING",
"valueType": "STRING"
},
"propertyName": "importance",
"propertyValue": "Mission Critical",
"updated": "false"
},
{
"matched": "false",
"propertyDef": {
"displayInCMDB": "false",
"displayName": "Location Name",
"groupKey": "false",
"propertyName": "locationName",
"subValueType": "STRING",
"valueType": "STRING"
},
"propertyName": "locationName",
"updated": "false"
}
]
},
"raidGroups": null,
"sanControllerPorts": null,
"secondaryContactUser": "0",
"softwarePatches": null,
"softwareServices": null,
"status": "2",
"storageGroups": null,
"storages": null,
"unmanaged": "false",
"updateMethod": "MANUAL",
"version": "ANY",
"winMachineGuid": null
}
}
}
]
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| accessIp | accessIp | XML 中提供時 |
| 名稱 | 名稱 | XML 中提供時 |
| 應用程式 | 「applications/name」的 CSV 檔案 | XML 中提供時 |
| creationMethod | creationMethod | XML 中提供時 |
| deviceType_model | deviceType_model | XML 中提供時 |
deviceType_accessProtocols deviceType_vendor |
deviceType_accessProtocols deviceType_vendor |
XML 中提供時 |
| discoverMethod | discoverMethod | XML 中提供時 |
| discoverTime | discoverTime | XML 中提供時 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success=true):「Successfully enriched the following entities using information from FortiSIEM: {entity.identifier}.」(已使用 FortiSIEM 的資訊,成功擴充下列實體:{entity.identifier}。) 如果某個實體沒有可用資料 (is_success=true):「Action wasn't able to enrich the following entities using information from FortiSIEM: {entity.identifier}」。 如果所有實體都沒有資料 (is_success=false):「提供的實體皆未經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤,則會顯示「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
執行簡單查詢
說明
根據提供的參數執行 FortiSIEM 事件查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件類型 | CSV | 不適用 | 否 | 指定查詢應擷取的事件類型。 參數接受以半形逗號分隔的多個值。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 以數字指定要擷取至 Google SecOps 的最低事件嚴重程度。 例如:5 或 7 |
| 事件類別 | CSV | 不適用 | 否 | 指定查詢應擷取的事件類別。 參數接受以半形逗號分隔的多個值。 |
| 活動 ID | CSV | 不適用 | 否 | (選用) 指定查詢應擷取的確切事件 ID。 參數接受以半形逗號分隔的多個值。 |
| 要傳回的欄位 | CSV | 不適用 | 否 | 指定要傳回的欄位。 如未提供任何內容,動作會傳回所有欄位。 |
| 排序欄位 | 字串 | phRecvTime | 否 | 指定用於排序的參數。 |
| 排序順序 | DDL | 遞減 可能的值:
|
否 | 指定排序順序。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定結果的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 範例:2021-04-23T12:38Z |
| 結束時間 | 字串 | 不適用 | 否 | 指定結果的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 格式:ISO 8601 |
| 要傳回的結果數量上限 | 整數 | 50 | 否 | 指定要傳回的結果數。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"custId": "1",
"attributes": {
"eventType": "Unknown_EventType",
"eventSeverity": "3",
"eventAction": "0 (Permit)",
"phRecvTime": "Wed Dec 29 00:36:55 IST 2021",
"relayDevIpAddr": "172.30.20xxx",
"reptDevIpAddr": "172.30.20xxx",
"destIpAddr": "172.30.20xxx",
"destName": "HOST-172.30.20xxx",
"reptDevName": "centos-xxx",
"reptVendor": "Unknown",
"customer": "Super",
"reptModel": "Unknown",
"rawEventMsg": "<27>Dec 29 00:36:47 centos-xxx aella_flow[5074]: 1902195|aos_afix_json|ERR|Failed to send message: Couldn't connect to server/7",
"collectorId": "1",
"eventId": "4242813061460978xxx",
"phEventCategory": "0 (External)",
"count": "1",
"eventName": "Unknown event type",
"eventParsedOk": "0",
"parserName": "SyslogNGParser"
},
"dataStr": null,
"eventType": "Unknown_EventType",
"id": "4242813061460978xxx",
"index": "0",
"nid": "4242813061460978xxx",
"receiveTime": "2021-12-29T00:36:55+02:00"
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少部分資料 (is_success=true):「Successfully retrieved results for the constructed query "{query}" in FortiSIEM.」(已成功擷取 FortiSIEM 中建構查詢「{query}」的結果)。 如果找不到任何結果 (is_success=false):「在 FortiSIEM 中,找不到與建構的查詢『{Query}』相符的結果。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如認證錯誤、無法連線至伺服器或其他錯誤:「執行動作『簡單查詢』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「開始時間」參數為空白,且「時間範圍」參數設為「自訂」(失敗):「執行動作『』時發生錯誤。原因:在『時間範圍』參數中選取『自訂』時,應提供『開始時間』。」 如果「開始時間」的值大於「結束時間」參數的值 (失敗):「執行動作時發生錯誤」。原因:「結束時間」應晚於「開始時間」。 |
一般 |
| 資料表 | 資料表名稱:簡單查詢結果 表格欄:回應中的所有欄 |
一般 |
執行自訂查詢
說明
在 FortiSIEM 中執行自訂查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串多行輸入欄位 | (屬性 = 值 OR 值) AND (屬性 值 OR 值) | 是 | 指定用於擷取事件相關資訊的查詢。 範例:(relayDevIpAddr = 172.30.202.1 OR 172.30.202.2) AND (reptDevName = HOST1) |
| 要傳回的欄位 | CSV | 否 | 指定要傳回的欄位。 如未提供任何內容,動作會傳回所有欄位。 |
|
| 排序欄位 | 字串 | phRecvTime | 否 | 指定用於排序的參數。 |
| 排序順序 | DDL | 遞減 可能的值:
|
否 | 指定排序順序。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定結果的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 範例:2021-04-23T12:38Z |
| 結束時間 | 字串 | 不適用 | 否 | 指定結果的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 |
| 要傳回的結果數量上限 | 整數 | 50 | 否 | 指定要傳回的結果數。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"custId": "1",
"attributes": {
"eventType": "Unknown_EventType",
"eventSeverity": "3",
"eventAction": "0 (Permit)",
"phRecvTime": "Wed Dec 29 00:36:55 IST 2021",
"relayDevIpAddr": "172.30.20xxx",
"reptDevIpAddr": "172.30.20xxx",
"destIpAddr": "172.30.20xxx",
"destName": "HOST-172.30.20xxx",
"reptDevName": "centos-xxx",
"reptVendor": "Unknown",
"customer": "Super",
"reptModel": "Unknown",
"rawEventMsg": "<27>Dec 29 00:36:47 centos-xxx aella_flow[5074]: 1902195|aos_afix_json|ERR|Failed to send message: Couldn't connect to server/7",
"collectorId": "1",
"eventId": "4242813061460978xxx",
"phEventCategory": "0 (External)",
"count": "1",
"eventName": "Unknown event type",
"eventParsedOk": "0",
"parserName": "SyslogNGParser"
},
"dataStr": null,
"eventType": "Unknown_EventType",
"id": "4242813061460978xxx",
"index": "0",
"nid": "4242813061460978xxx",
"receiveTime": "2021-12-29T00:36:55+02:00"
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少部分資料 (is_success=true):「Successfully retrieved results for the provided query "{query}" in FortiSIEM.」(已成功在 FortiSIEM 中擷取所提供查詢「{query}」的結果)。 如果找不到任何結果 (is_success=false):「No results were found for the provided query "{Query}" in FortiSIEM.」(在 FortiSIEM 中,找不到與所提供查詢「{Query}」相符的結果。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如認證錯誤、無法連線至伺服器或其他錯誤:「執行動作『簡單查詢』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果「開始時間」參數為空白,且「時間範圍」參數設為「自訂」(失敗):「執行動作『』時發生錯誤。原因:在『時間範圍』參數中選取『自訂』時,應提供『開始時間』。」 如果「開始時間」的值大於「結束時間」參數的值 (失敗):「執行動作時發生錯誤」。原因:「結束時間」應晚於「開始時間」。 |
一般 |
| 資料表 | 資料表名稱:自訂查詢結果 表格欄:回應中的所有欄 |
一般 |
連接器
FortiSIEM 事件連接器
連接器說明
連接器可用於擷取 FortiSIEM 事件。連接器許可清單可用於僅根據事件的「eventType」屬性值擷取特定類型的事件。連接器的 SourceGroupIdentifier 可用於依事件 ID 將 Google SecOps 快訊分組。連接器需要 FortiSIEM 6.3 以上版本。
連結器參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | deviceProduct | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | eventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
|
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 | 整數 | 300 | 是 | 指定連接器的執行逾時時間。 |
| API 根層級 | 字串 | https:/x.x.x.x:port | 是 | 指定目標 FortiSIEM 安裝作業的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 指定要用於目標 FortiSIEM 安裝作業的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 指定目標 FortiSIEM 安裝作業要使用的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,Google SecOps 伺服器會檢查為 API 根目錄設定的憑證。 |
| 目標機構 | CSV | 不適用 | 否 | 指定連接器應擷取事件的機構。 參數接受以半形逗號分隔的多個值。 |
| 可回溯的小時數上限 | 整數 | 24 | 是 | 指定時間範圍,從 X 小時前開始擷取事件。 |
| 每個週期最多可發生幾次事件 | 整數 | 10 | 是 | 指定一次連接器執行作業應處理的事件數量。 |
| 每個事件的事件數量上限 | 整數 | 100 | 是 | 指定連接器應追蹤事件的數量上限。 達到上限後,系統就不會再將新事件新增至 Google SecOps。 |
| 要擷取的事件狀態 | CSV | 0 | 否 | 指定要擷取至 Google SecOps 的事件狀態。 參數接受以半形逗號分隔的多個值。 0 代表處於開啟狀態的事件。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 以數字指定要擷取至 Google SecOps 的事件嚴重程度下限,例如 5 或 7。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
| 追蹤已擷取事件中新增的事件 | 核取方塊 | 已勾選 | 是 | 啟用後,如果已擷取的 FortiSIEM 事件新增事件,Google SecOps 會建立含有這些新事件的額外新快訊。 |
| 追蹤新事件門檻 (小時) | 整數 | 24 | 是 | 如果勾選「Track New Events Added to Already Ingested Incidents」(追蹤已擷取事件中新增的事件) 核取方塊,請指定連接器應追蹤已擷取事件中新增事件的最長時數。 達到上限後,系統就不會再將新事件新增至 Google SecOps。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 指定要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 指定用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 指定用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。