Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=Fortianalyzer

Fortinet FortiAnalyzer (API)

API

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Remarque

Une intégration de collecteur de journaux de FortiAnalyzer est également disponible. Contrairement à l’intégration API, il n’est pas nécessaire que vous donniez à votre appareil FortiAnalyzer un accès à Internet public. Voir Fortinet FortiAnalyzer (collecteur de journaux).

Vous pouvez intégrer Fortinet FortiAnalyzer à Sophos Central pour lui permettre d’envoyer des rapports à Sophos pour analyse.

C’est une intégration basée sur une API. Vous aurez besoin de détails sur le nom d’utilisateur, le mot de passe et le domaine administratif d’un administrateur FortiAnalyzer, ainsi que de l’URL de base de FortiAnalyzer.

Les étapes essentielles sont les suivantes :

  • Créer un administrateur dans FortiAnalyzer.
  • Obtenir l’URL de base de FortiAnalyzer.
  • Configurer une intégration dans Sophos Central.

Avertissement

L’URL de base de FortiAnalyzer doit avoir un nom DNS pouvant être résolu publiquement, sinon l’API ne fonctionnera pas.

Vous ne pouvez pas non plus utiliser un certificat autosigné avec cette API.

Créer un administrateur FortiAnalyzer

Pour créer un administrateur, procédez de la manière suivante :

  1. Dans FortiAnalyzer, allez dans Paramètres système > Administration > Administrateurs.

  2. Créez un administrateur avec accès en lecture à l’API JSON.

    Dans le profil de l’administrateur, vous devez définir l’autorisation des Incidents et événements/FortiSOC sur Lecture seule.

    Notez le nom d’utilisateur, le mot de passe et le domaine administratif. Vous en aurez besoin lorsque vous ajouterez l’intégration.

    Retrouvez plus de renseignements sur Création d’administrateurs.

Obtenir l’URL de base de FortiAnalyzer

  1. Vérifiez l’URL de base du FortiAnalyzer à laquelle Sophos Central doit se connecter.

    Le format de l’URL de base est le suivant : https://faz.<yourorganization>.com.

    Copiez l’URL de base. Vous en avez besoin lorsque vous ajouterez l’intégration.

Configurer une intégration

Pour intégrer FortiAnalyzer à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur FortiAnalyzer.

    La page FortiAnalyzer s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

  4. Dans Étapes d’intégration, vous configurez une API pour collecter des données à partir de FortiAnalyzer :

    1. Saisissez le Nom de l’intégration et la Description de l’intégration.
    2. Saisissez les Détails d’authentification de FortiAnalyzer : Domaine administratif, nom d’utilisateur, mot de passe et URL de base.

  5. Cliquez sur Enregistrer.

Nous créons l’intégration et celle-ci apparaît dans votre liste. Si l’icône d’état affiche une coche verte, vos données devraient apparaître dans le Sophos Data Lake après validation.

Adresses IP Sophos

Les adresses IP que nous utilisons pour atteindre votre FortiAnalyzer dépendent de votre région Sophos Central. Retrouvez plus de renseignements sur les adresses IP à utiliser sur Adresses IP Sophos destinées aux intégrations.

Vous pouvez ajouter ces adresses aux listes d’autorisation de votre infrastructure réseau.