« Fortinet FortiClient 集成 Fortinet FortiGate 集成 »
Elastic 文档 Elastic 集成 Fortinet

Fortinet FortiEDR 集成

编辑

Fortinet FortiEDR 集成

编辑

版本

1.15.1 (查看全部)

兼容的 Kibana 版本

7.17.0 或更高版本
8.0.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成用于以 syslog 格式发送的 Fortinet FortiEDR 日志。

配置

编辑

Fortinet FortiEDR 集成要求在 FortiEDR 剧本策略中启用 发送 Syslog 通知 选项,该策略包括要由集成监控的设备,并且必须定义 syslog 导出。

定义 syslog 导出
编辑
  1. 在 Fortinet 控制台中,导航至“管理”>“导出设置”
  2. 填写目标 syslog 服务器的详细信息。有关详细信息,请参阅管理指南 syslog 文档。
设置 syslog 通知
编辑
  1. 导航至“安全设置”>“剧本”。
  2. 在所用剧本的通知中,为要收集的事件设置适当的“发送 Syslog 通知”选项。请参阅 自动化事件响应 - 剧本页面
日志
编辑

log 数据集收集 Fortinet FortiEDR 日志。

示例

log 的示例事件如下:

{
    "@timestamp": "2019-09-18T06:42:18.000Z",
    "agent": {
        "ephemeral_id": "a328c9b6-3f49-4e0a-bc08-181d13ad6b77",
        "id": "e2f57999-9659-45c8-a03c-c5bf85dc5124",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.3.3"
    },
    "data_stream": {
        "dataset": "fortinet_fortiedr.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "e2f57999-9659-45c8-a03c-c5bf85dc5124",
        "snapshot": false,
        "version": "8.3.3"
    },
    "event": {
        "action": "blocked",
        "agent_id_status": "verified",
        "category": "malware",
        "dataset": "fortinet_fortiedr.log",
        "end": "2019-09-18T02:42:18.000Z",
        "id": "458478",
        "ingested": "2022-08-26T07:24:21Z",
        "original": "<133>1 2019-09-18T06:42:18.000Z 1.1.1.1 enSilo - - - Organization: Demo;Organization ID: 156646;Event ID: 458478; Raw Data ID: 1270886879;Device Name: WIN10-VICTIM;Operating System: Windows 10 Pro N; Process Name: svchost.exe;Process Path: \\Device\\HarddiskVolume4\\Windows\\System32\\svchost.exe; Process Type: 64bit;Severity: Critical;Classification: Suspicious;Destination: File Creation; First Seen: 18-Sep-2019, 02:42:18;Last Seen: 18-Sep-2019, 02:42:18;Action: Blocked;Count: 1; Certificate: yes;Rules List: File Encryptor - Suspicious file modification;Users: WIN10-VICTIM\\U; MAC Address: 00-0C-29-D4-75-EC;Script: N/A;Script Path: N/A;Autonomous System: N/A;Country: N/A",
        "start": "2019-09-18T02:42:18.000Z",
        "timezone": "+00:00"
    },
    "fortinet": {
        "edr": {
            "action": "Blocked",
            "autonomous_system": "N/A",
            "certificate": "yes",
            "classification": "Suspicious",
            "count": "1",
            "country": "N/A",
            "destination": "File Creation",
            "device_name": "WIN10-VICTIM",
            "event_id": "458478",
            "first_seen": "2019-09-18T02:42:18.000Z",
            "last_seen": "2019-09-18T02:42:18.000Z",
            "mac_address": "00-0C-29-D4-75-EC",
            "operating_system": "Windows 10 Pro N",
            "organization": "Demo",
            "organization_id": "156646",
            "process_name": "svchost.exe",
            "process_path": "\\Device\\HarddiskVolume4\\Windows\\System32\\svchost.exe",
            "process_type": "64bit",
            "raw_data_id": "1270886879",
            "rules_list": "File Encryptor - Suspicious file modification",
            "script": "N/A",
            "script_path": "N/A",
            "severity": "Critical",
            "users": "WIN10-VICTIM\\U"
        }
    },
    "host": {
        "hostname": "WIN10-VICTIM",
        "mac": [
            "00-0C-29-D4-75-EC"
        ],
        "os": {
            "full": "Windows 10 Pro N"
        }
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "192.168.48.4:47582"
        },
        "syslog": {
            "appname": "enSilo",
            "facility": {
                "code": 16
            },
            "hostname": "1.1.1.1",
            "priority": 133,
            "severity": {
                "code": 5
            },
            "version": "1"
        }
    },
    "observer": {
        "product": "FortiEDR",
        "type": "edr",
        "vendor": "Fortinet"
    },
    "process": {
        "executable": "\\Device\\HarddiskVolume4\\Windows\\System32\\svchost.exe",
        "name": "svchost.exe"
    },
    "related": {
        "hosts": [
            "WIN10-VICTIM",
            "1.1.1.1"
        ],
        "user": [
            "WIN10-VICTIM\\U"
        ]
    },
    "tags": [
        "preserve_original_event",
        "fortinet-fortiedr",
        "forwarded"
    ],
    "user": {
        "id": "WIN10-VICTIM\\U"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机运行所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机运行所在的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

容器构建所基于的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段,必须存在于所有事件中。在跨多个索引进行查询时(这些索引可能符合略有不同的 ECS 版本),此字段使集成能够调整到事件的架构版本。

关键字

error.message

错误消息。

仅匹配文本

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实施者定义。

关键字

event.code

此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而无论消息语言或随着时间的推移进行的措辞调整如何。一个例子是 Windows 事件 ID。

关键字

event.dataset

事件数据集

常量关键字

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理第一次看到事件的时间。在正常情况下,假设没有篡改,时间戳在时间顺序上应如下所示:@timestamp < event.created < event.ingested

日期

event.module

事件模块

常量关键字

event.original

整个事件的原始文本消息。用于演示日志完整性或在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下,例如用于重新索引。此字段未建立索引,并且 doc_values 已禁用。它无法搜索,但可以从 _source 中检索。如果用户希望覆盖此字段并为其建立索引,请参阅 Elasticsearch 参考中的 字段数据类型

关键字

event.outcome

这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最低级别。event.outcome 只是表示从生成事件的实体的角度来看,事件是表示成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可能会根据其视角填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,应使用最能从事件生成者的角度捕获整体成功或失败的值填充此字段。此外,请注意,并非所有事件都会有相关的结果。例如,此字段通常不为指标事件、event.type:info 事件或任何结果不合逻辑的事件填充。

关键字

event.timezone

当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式包括:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

关键字

fortinet.edr.action

关键字

fortinet.edr.autonomous_system

关键字

fortinet.edr.certificate

关键字

fortinet.edr.classification

关键字

fortinet.edr.count

关键字

fortinet.edr.country

关键字

fortinet.edr.destination

关键字

fortinet.edr.device_name

关键字

fortinet.edr.event_id

关键字

fortinet.edr.first_seen

日期

fortinet.edr.last_seen

日期

fortinet.edr.mac_address

关键字

fortinet.edr.operating_system

关键字

fortinet.edr.organization

关键字

fortinet.edr.organization_id

关键字

fortinet.edr.process_name

关键字

fortinet.edr.process_path

关键字

fortinet.edr.process_type

关键字

fortinet.edr.raw_data_id

关键字

fortinet.edr.rules_list

关键字

fortinet.edr.script

关键字

fortinet.edr.script_path

关键字

fortinet.edr.severity

关键字

fortinet.edr.users

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 beat.name 的使用。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定的域名或用户指定的名称。发送者决定使用哪个值。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

host.os.family

操作系统系列(例如 redhat、debian、freebsd、windows)。

关键字

host.os.kernel

操作系统内核版本(作为原始字符串)。

关键字

host.os.name

操作系统名称(不带版本)。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台(例如 centos、ubuntu、windows)。

关键字

host.os.version

操作系统版本(作为原始字符串)。

关键字

host.type

主机类型。对于云提供商,这可以是诸如 t2.medium 之类的机器类型。如果虚拟机,这可以是容器,例如,或在您的环境中具有意义的其他信息。

关键字

input.type

Filebeat 输入的类型。

关键字

log.file.path

此事件来自的日志文件的完整路径。

关键字

log.flags

日志文件的标志。

关键字

log.offset

日志文件中条目的偏移量。

长整数

log.source.address

从中读取/发送日志事件的源地址。

关键字

log.syslog.appname

生成 Syslog 消息的设备或应用程序(如果可用)。

关键字

log.syslog.facility.code

日志事件的 Syslog 数字设施(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。

长整数

log.syslog.hostname

最初发送 Syslog 消息的机器的主机名、FQDN 或 IP。此值来自 syslog 标头的主机名字段。根据环境的不同,此值可能与处理事件的主机不同,尤其是在处理事件的主机充当收集器的情况下。

关键字

log.syslog.msgid

Syslog 消息类型的标识符(如果可用)。仅适用于 RFC 5424 消息。

关键字

log.syslog.priority

事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 设施 + 严重性。因此,此数字应包含 0 到 191 之间的值。

长整数

log.syslog.procid

生成 Syslog 消息的进程名称或 ID(如果可用)。

关键字

log.syslog.severity.code

日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性,您可以选择将 Syslog 严重性复制到 event.severity

长整数

log.syslog.version

Syslog 协议规范的版本。仅适用于 RFC 5424 消息。

关键字

message

对于日志事件,message 字段包含日志消息,并针对在日志查看器中查看进行了优化。对于没有原始 message 字段的结构化日志,可以将其他字段连接起来以形成事件的人类可读摘要。如果存在多个消息,可以将它们组合成一条消息。

仅匹配文本

observer.product

观察者的产品名称。

关键字

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarderfirewallidsipsproxypollersensorAPM server

关键字

observer.vendor

观察者的供应商名称。

关键字

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

仅匹配文本

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

仅匹配文本

related.hosts

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键字

related.ip

在您的事件中看到的所有 IP 地址。

IP

related.user

在事件中看到的所有用户名或其他用户标识符。

关键字

service.name

从中收集数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下,service.name 可以包含集群名称。对于 Beats,如果没有指定名称,则 service.name 默认是 service.type 字段的副本。

关键字

tags

用于标记每个事件的关键字列表。

关键字

user.id

用户的唯一标识符。

关键字

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.15.1

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三重大括号 Mustache 模板。

7.17.0 或更高版本
8.0.0 或更高版本

1.15.0

增强功能 (查看拉取请求)
将软件包规范更新到 3.0.3。

7.17.0 或更高版本
8.0.0 或更高版本

1.14.2

增强功能 (查看拉取请求)
更改了所有者

7.17.0 或更高版本
8.0.0 或更高版本

1.14.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

7.17.0 或更高版本
8.0.0 或更高版本

1.14.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
改进 event.original 检查,以避免在设置时出现错误。

7.17.0 或更高版本
8.0.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.10.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。向软件包清单添加了 owner.type: elastic

7.17.0 或更高版本
8.0.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便集成仪表板和保存的搜索标记为“安全解决方案”并在安全解决方案 UI 中显示。

7.17.0 或更高版本
8.0.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.9.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.17.0 或更高版本
8.0.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
将软件包规范版本更新到 2.7.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.4.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

7.17.0 或更高版本
8.0.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
向 UDP 输入添加 udp_options

7.17.0 或更高版本
8.0.0 或更高版本

1.2.0

增强功能 (查看拉取请求)
改进配置文档。

7.17.0 或更高版本
8.0.0 或更高版本

1.1.0

增强功能 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
Fortinet FortiEDR 软件包的初始版本

7.17.0 或更高版本
8.0.0 或更高版本
« Fortinet FortiClient 集成 Fortinet FortiGate 集成 »