FortiAnalyzer
統合バージョン: 5.0
Google Security Operations で FortiAnalyzer の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{ip address} | はい | FortiAnalyzer インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | FortiAnalyzer アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | FortiAnalyzer アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、FortiAnalyzer への接続用の SSL 証明書が有効であることを確認します。 |
操作
アラートにコメントを追加
説明
FortiAnalyzer のアラートにコメントを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 更新する必要があるアラートの ID を指定します。 |
| コメント | 文字列 | なし | はい | アラートのコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"jsonrpc": "2.0",
"id": "string",
"result": {
"status": "done"
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 情報が返された場合(is_success=true): 「FortiAnalyzer で ID {id} のアラートにコメントが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラートにコメントを追加」の実行エラー。理由: {0}「.format(error.Stacktrace)」 アラートが見つからない場合: 「アクション「アラートにコメントを追加」の実行エラー。理由: ID {アラート ID} のアラートが FortiAnalyzer で見つかりませんでした。スペルを確認してください。」 |
全般 |
エンティティを拡充する
説明
FortiAnalyzer の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、IP アドレス。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"adm_pass": [
"ENC",
"FLP+Dq8f3t2/S+GQ6DfPL2iRhtmk1CEZzEeH8+nVkRkFd72IUbBZM6uDyw0fQ1j1i28H1wtfqf6HlGEK2ubxs0rXE4L+Uqj433si+AmEF9gEB5gLw/4P5YYRkw/aOYF74k8/8bincoa31jBe0u0HWRNdWYQSyG7IWgvZGsPK4at0gwZI"
],
"adm_usr": "admin",
"app_ver": "",
"av_ver": "",
"beta": -1,
"branch_pt": 1255,
"build": 1255,
"checksum": "",
"conf_status": 0,
"conn_mode": 0,
"conn_status": 0,
"db_status": 0,
"desc": "",
"dev_status": 0,
"eip": "",
"fap_cnt": 0,
"faz.full_act": 0,
"faz.perm": 15,
"faz.quota": 0,
"faz.used": 0,
"fex_cnt": 0,
"first_tunnel_up": 0,
"flags": 2097152,
"foslic_cpu": 0,
"foslic_dr_site": 0,
"foslic_inst_time": 0,
"foslic_last_sync": 0,
"foslic_ram": 0,
"foslic_type": 0,
"foslic_utm": 0,
"fsw_cnt": 0,
"ha_group_id": 0,
"ha_group_name": "",
"ha_mode": 0,
"ha_slave": null,
"hdisk_size": 0,
"hostname": "",
"hw_rev_major": 0,
"hw_rev_minor": 0,
"hyperscale": 0,
"ip": "172.30.203.248",
"ips_ext": 0,
"ips_ver": "",
"last_checked": 1665664693,
"last_resync": 0,
"latitude": "0.0",
"lic_flags": 0,
"lic_region": "",
"location_from": "",
"logdisk_size": 0,
"longitude": "0.0",
"maxvdom": 10,
"mgmt.__data[0]": 0,
"mgmt.__data[1]": 0,
"mgmt.__data[2]": 0,
"mgmt.__data[3]": 0,
"mgmt.__data[4]": 0,
"mgmt.__data[5]": 0,
"mgmt.__data[6]": 0,
"mgmt.__data[7]": 0,
"mgmt_if": "",
"mgmt_mode": 2,
"mgmt_uuid": "1841991674",
"mgt_vdom": "",
"module_sn": "",
"mr": 2,
"name": "FGVMEV2YKQ61YQD5",
"node_flags": 0,
"nsxt_service_name": "",
"oid": 181,
"onboard_rule": null,
"opts": 0,
"os_type": 0,
"os_ver": 7,
"patch": 2,
"platform_str": "FortiGate-VM64",
"prefer_img_ver": "",
"prio": 0,
"private_key": "",
"private_key_status": 0,
"psk": "",
"role": 0,
"sn": "FGVMEV2YKQ61YQD5",
"source": 2,
"tab_status": "",
"tunnel_cookie": "",
"tunnel_ip": "",
"vdom": [
{
"comments": null,
"devid": "FGVMEV2YKQ61YQD5",
"ext_flags": 0,
"flags": 0,
"name": "root",
"node_flags": 0,
"oid": 3,
"opmode": 1,
"rtm_prof_id": 0,
"status": null,
"tab_status": null,
"vdom_type": 1,
"vpn_id": 0
}
],
"version": 700,
"vm_cpu": 0,
"vm_cpu_limit": 0,
"vm_lic_expire": 0,
"vm_mem": 0,
"vm_mem_limit": 0,
"vm_status": 0
}
エンティティの拡充 - 接頭辞 FortiAn_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| adm_usr | adm_usr | JSON で利用可能な場合 |
| ビルド | ビルド | JSON で利用可能な場合 |
| ip | ip | JSON で利用可能な場合 |
| last_checked | last_checked | JSON で利用可能な場合 |
| last_resync | last_resync | JSON で利用可能な場合 |
| name | name | JSON で利用可能な場合 |
| sn | sn | JSON で利用可能な場合 |
| os_type | os_type | JSON で利用可能な場合 |
| os_ver | os_ver | JSON で利用可能な場合 |
| patch | patch | JSON で利用可能な場合 |
| platform\_str | platform\_str | JSON で利用可能な場合 |
| version | version | JSON で利用可能な場合 |
| 降順 | 降順 | JSON で利用可能な場合 |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「FortiAnalyzer の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、FortiAnalyzer の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティが拡充されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤り、サーバーへの接続がないなどの致命的なエラーが報告された場合: 「アクション「エンティティの拡充」の実行中にエラーが発生しました」。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | タイトル: {entity.identifier} 列: Key-Value |
エンティティ |
Ping
説明
Google Security Operations の [Marketplace] タブの統合構成ページで提供されるパラメータを使用して、FortiAnalyzer への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して BitSight サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「BitSight サーバーに接続できませんでした。エラーは {0}」.format(exception.stacktrace) |
全般 |
検索ログ
説明
FortiAnalyzer でログを検索します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ログタイプ | DDL | トラフィック 値は次のいずれかです。
|
いいえ | 検索するログタイプを指定します。 |
| 大文字と小文字を区別するフィルタ | チェックボックス | オフ | いいえ | 有効にすると、フィルタで大文字と小文字が区別されます。 |
| クエリフィルタ | 文字列 | なし | いいえ | 検索のクエリフィルタを指定します。 |
| デバイス ID | 文字列 | All\_Fortigate | いいえ | 検索するデバイスの ID を指定します。 何も指定しないと、アクションは All_Fortigate で検索します。 値の例: All_FortiGate、All_FortiMail、All_FortiWeb、All_FortiManager、All_Syslog、All_FortiClient、All_FortiCache、All_FortiProxy、All_FortiAnalyzer、All_FortiSandbox、All_FortiAuthenticator、All_FortiDDoS |
| 期間 | DDL | 先月 有効な値:
|
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | 結果の開始時刻を指定します。 「期間」パラメータに「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 |
| 終了時刻 | 文字列 | なし | いいえ | 結果の終了時刻を指定します。 形式: ISO 8601。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 |
| 時間順 | DDL | DESC 値は次のいずれかです。
|
いいえ | 検索で時間順序を指定します。 |
| 返されるログの最大数 | Integer | 20 | いいえ | 返すログの数を指定します。デフォルト: 20。最大数は 1,000 です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"sessionid": "29658",
"srcip": "172.30.201.188",
"dstip": "173.243.138.210",
"srcport": "17453",
"dstport": "443",
"trandisp": "noop",
"duration": "1",
"proto": "6",
"sentbyte": "216",
"rcvdbyte": "112",
"sentpkt": "4",
"rcvdpkt": "2",
"logid": "0001000014",
"service": "HTTPS",
"app": "HTTPS",
"appcat": "unscanned",
"srcintfrole": "undefined",
"dstintfrole": "undefined",
"eventtime": "1665752066921638736",
"srccountry": "Reserved",
"dstcountry": "Canada",
"srcintf": "root",
"dstintf": "port1",
"dstowner": "540",
"tz": "-0700",
"devid": "FGVMEV2YKQ61YQD5",
"vd": "root",
"csf": "FortiNetFabric",
"dtime": "2022-10-14 05:54:27",
"itime_t": "1665752069",
"devname": "FGVMEV2YKQ61YQD5"
}{
"date": "2022-10-14",
"time": "05:54:27",
"id": "7154350659607724033",
"itime": "2022-10-14 05:54:29",
"euid": "102",
"epid": "102",
"dsteuid": "102",
"dstepid": "102",
"logver": "702021255",
"type": "traffic",
"subtype": "local",
"level": "notice",
"action": "close",
"policyid": "0"
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 情報が返された場合(is_success=true): 「FortiAnalyzer で指定された条件のログが正常に取得されました。」 情報が返されなかった場合(is_success=true): 「FortiAnalyzer で指定された条件に該当するログが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤り、サーバーへの接続がないなどの致命的なエラーが報告された場合: 「アクション「ログの検索」の実行中にエラーが発生しました」。理由: {0}「.format(error.Stacktrace)」 レスポンスでエラーが報告された場合: 「アクション「ログの検索」の実行エラー。理由: {0}」.format(error/message)" |
全般 |
アラートを更新する
説明
FortiAnalyzer でアラートを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 更新する必要があるアラートの ID を指定します。 |
| Acknowledge Status | DDL | 1 つ選択 値は次のいずれかです。
|
いいえ | アラートの確認ステータスを指定します。 |
| 既読にする | チェックボックス | オフ | いいえ | 有効にすると、アクションによってアラートが既読としてマークされます。 |
| 担当者 | 文字列 | なし | いいえ | アラートの割り当て先を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"alerttime": "1665653864",
"logcount": "17",
"alertid": "202210131000040003",
"adom": "root",
"epid": "1",
"epname": "not implemented dev type",
"subject": "desc:Trim local db",
"euid": "1",
"euname": "N/A",
"devname": "fortianalyzer",
"logtype": "event",
"devtype": "FortiAnalyzer",
"devid": "FAZ-VMTM22013516",
"vdom": "_self_locallog_",
"groupby1": "desc:Trim local db",
"triggername": "Local Device Event",
"tag": "Default,System,Local",
"eventtype": "event",
"severity": "medium",
"extrainfo": "{ \"msg\": \"Requested to trim database tables older than 60 days to enforce the retention policy of Adom FortiAuthenticator.\" }",
"ackflag": "no",
"readflag": "yes",
"filterkey": "3377053565526629289",
"firstlogtime": "1665653864",
"multiflag": "",
"lastlogtime": "1665653887",
"updatetime": "1665747977",
"filtercksum": "2072153473",
"filterid": "1",
"assignto": "api_user",
"ackby": "admin",
"acktime": "1665747892"
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 情報が返された場合(is_success=true): 「FortiAnalyzer で ID {alert id} のアラートが正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤り、サーバーへの接続がないなどの致命的なエラーが報告された場合: 「操作「アラートの更新」の実行中にエラーが発生しました」。理由: {0}」.format(error.Stacktrace) アラートが見つからない場合: 「アクション「Update Alert」の実行中にエラーが発生しました。理由: ID {アラート ID} のアラートが FortiAnalyzer で見つかりませんでした。スペルを確認してください。」 「確認ステータス」パラメータが「1 つ選択」に設定され、「既読としてマーク」パラメータが False に設定され、「割り当て先」パラメータに何も指定されていない場合: 「アクション「アラートの更新」の実行エラー。理由: 「Acknowledge Status」、「Mark As Read」、「Assign To」のいずれかのパラメータに値を設定する必要があります。」 |
全般 |
コネクタ
FortiAnalyzer - アラート コネクタ
説明
FortiAnalyzer からアラートに関する情報を pull します。
Google SecOps で FortiAnalyzer - アラート コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | siemplify_type | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | event_type | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{ip address} | はい | FortiAnalyzer インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | FortiAnalyzer アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | FortiAnalyzer アカウントのパスワード。 |
| 取得する最も低い重大度 | 文字列 | 中 | いいえ | アラートの取得に使用する必要がある最も低い重大度。 有効な値: 低、中、高、重大。何も指定しないと、コネクタはすべての重大度のアラートを取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | アラートを取得した時点からの経過時間数。 |
| 取得するアラートの最大数 | 整数 | 20 | いいえ | 1 回のコネクタの反復処理で処理するタイプごとのアラートの数。 |
| 動的リストを拒否リストとして使用する | チェックボックス | オフ | ○ | 有効にすると、動的リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合、コネクタは FortiAnalyzer サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。