Реагирование с помощью FortiGate

FortiGate – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

Поддерживается версия FortiGate 7.6.0.

Вы можете реагировать на алерты и инциденты с помощью FortiGate, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. В результате запуска плейбука FortiGate блокирует IP-адреса, URL или доменные имена, в зависимости от действия, которое вы указали при создании плейбука.

Чтобы разблокировать заблокированные IP-адреса, URL или доменные имена, вам нужно создать и запустить другой плейбук.

Вы можете скачать скрипт по следующей ссылке:

Загрузить скрипт

Учетная запись, пароль и API-ключ для доступа к FortiGate хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью FortiGate, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью FortiGate:

  1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
  2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью FortiGate.
  3. Нажмите на кнопку Запустить.

    Выбранный плейбук запустит скрипт для реагирования с помощью FortiGate.

    Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

В начало