* オートメーションステッチの概要:
* FortiAnalyzerの自動化ステッチは、特定のイベントによってトリガーされる一連の自動アクションを事前に定義したものです。これらのアクションは、セキュリティインシデントへの対応を自動化し、効率を向上させ、対応時間を短縮するのに役立ちます。
* FortiAnalyzer コネクタ:
* FortiAnalyzerは、コネクタを介して様々なFortinet製品やその他のサードパーティソリューションと統合されます。これらのコネクタは通信とデータ交換を容易にし、集中管理と自動化を実現します。
* 自動化ステッチに使用可能なコネクタ:
* FortiCASB:
* FortiCASB は、SaaS アプリケーションのセキュリティ保護に役立つクラウド アクセス セキュリティ ブローカーです。
ただし、通常、FortiAnalyzer 内で自動化ステッチを実行する場合には使用されません。
参考資料: Fortinet FortiCASB ドキュメント FortiCASB
フォルティメール:
FortiMailはメールセキュリティソリューションです。ログやイベントをFortiAnalyzerに送信できますが、自動化ステッチの実行には主に使用されません。
参考資料: Fortinet FortiMail ドキュメント FortiMail
地元：
ローカルコネクタとは、FortiAnalyzer が自身で生成したログやイベントを処理する機能を指します。これは内部プロセスには役立ちますが、他の Fortinet デバイスとの連携による自動化には特に役立ちません。
参考資料: Fortinet FortiAnalyzer 管理ガイド FortiAnalyzer Local FortiOS:
FortiOSは、FortiGateファイアウォールで動作するオペレーティングシステムです。FortiAnalyzerはFortiOSコネクタを使用してFortiGateデバイスと通信し、自動化ステッチを実行できます。これにより、FortiAnalyzerはFortiGateにコマンドを送信し、特定のイベントに応じて事前定義されたアクションをトリガーできます。
参考資料: Fortinet FortiOS 管理ガイド FortiOS
詳細なプロセス:
ステップ 1: FortiAnalyzer で FortiOS コネクタを構成して、FortiGate デバイスとの通信を確立します。
ステップ 2: 特定のイベントが発生したときに実行されるアクションを指定する自動化ステッチを FortiAnalyzer 内で定義します。
ステップ 3: トリガー イベントが検出されると、FortiAnalyzer は FortiOS コネクタを使用して、必要なコマンドを FortiGate デバイスに送信します。
ステップ 4: FortiGate はコマンドを実行し、IP アドレスのブロック、ファイアウォール ルールの更新、アラートの送信などの事前定義されたアクションを実行します。
結論：
FortiOS コネクタは FortiGate デバイスとの統合用に特別に設計されており、FortiAnalyzer が自動化ステッチを効果的に実行できるようにします。
参考文献:
Fortinet FortiOS 管理ガイド: 自動化ステッチの構成と使用に関する詳細。
Fortinet FortiAnalyzer 管理ガイド: コネクタと統合オプションに関する情報。
FortiOS コネクタを利用することで、FortiAnalyzer は自動化ステッチを実行し、ネットワーク内のセキュリティ態勢と応答機能を強化できます。

FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSIEM 7.3 における重要なイノベーションは、トリアージおよび対応プロセス中に SOC アナリストを支援する生成 AI 機能を提供する FortiAI の統合です。
* 生成 AI サマリー: インシデントが発生すると、FortiAI は基礎となるログ、相関ロジック、および MITRE ATT&CK テクニック (図に示されている「Exfiltration Over Alternative Protocol」など) を自動的に分析し、人間が判読できるサマリーを生成します。
* 構造化された出力: 展示物に表示される出力、具体的には分類された調査アクション (影響を受けるシステムの特定、トラフィックの分析) と修復アクション (即時の封じ込め、パッチ適用、ユーザー トレーニング) は、FortiAI サマリー リクエストの一般的な結果です。
* アナリストの効率:この機能は、静的なドキュメントや異なるログ ビューから推奨される対応計画を手動でまとめる必要がなく、アナリストに即時に実行可能な手順を提供することで、「平​​均対応時間」(MTTR) を短縮するように設計されています。
他のオプションが間違っている理由:
* インシデントのエクスポート (A): インシデントをエクスポートすると、通常、調査と修復のための AI 生成の戦略計画ではなく、ログ データとメタデータを含む生のデータ ファイル (CSV/JSON/PDF) が生成されます。
* インシデントレポートの実行 (B): 標準的なインシデントレポートは、インシデントに関する統計データと履歴データを経時的に提供します。個々のインシデント固有の状況に合わせて、番号付きの具体的な調査手順を動的に生成するものではありません。
* コンテキストタブ (D): FortiSIEM のコンテキストタブは、主に、関連する資産のCMDB情報（ホストの詳細、所有者、場所など）と関連する履歴イベントを表示するために使用します。調査に必要なデータは提供されますが、実行すべきアクションのリストは提供されません。

* 問題を理解する:
* SMTP 偵察アクティビティを検出するためのカスタム イベント ハンドラーが大量のイベントを生成しています。
* この大量のイベントにより通知システムが圧倒され、アラート疲れやインシデント対応の非効率性が発生する可能性があります。
* イベントハンドラの構成:
* イベント ハンドラーは、特定の条件に基づいてアラートをトリガーするように構成されます。
* これらのアラートの頻度と音量は、トリガー条件を調整することで制御できます。
* 考えられる解決策:
* A. 特定のグループによってトリガーされたカウントを識別して減らすように、トリガー カウントを増やします。
* トリガー数を増やすと、より高いアクティビティのしきい値が検出された場合にのみイベント ハンドラーがアラートを生成するようになります。
* これにより、生成されるイベントの数が減り、通知システムの過負荷を防ぐことができます。
* 生成されるイベントの量を効率的に管理するため選択されました。
* B. カスタム イベント ハンドラーは期待どおりに動作しないため、無効にします。
* イベント ハンドラーを無効にすると、SMTP 偵察アクティビティの監視が完全に停止されるため、実用的な解決策ではありません。
* イベント生成の微調整の問題に対処していないため、選択されません。
* C. 攻撃中にカスタム イベント ハンドラーがカバーする時間範囲を短縮します。
* 時間範囲を短縮すると、場合によっては役立つ可能性がありますが、攻撃が長期間にわたる場合は重要なアクティビティを見逃す可能性もあります。
* 重要なイベントの報告不足につながる可能性があるため、選択されません。
* D. イベントを作成するときに、より一意のフィールド値を探すように、ログ フィールド値を増やします。
* ログ フィールドの値を調整すると、イベント条件が絞り込まれる可能性がありますが、アラートの量は直接制御されません。
* イベントボリュームを管理する最も効果的な方法ではないため、選択されません。
* 実装手順:
* ステップ 1: FortiAnalyzer のイベント ハンドラー構成にアクセスします。
* 手順 2: SMTP 偵察のカスタム イベント ハンドラー内でトリガー カウント設定を見つけます。
* ステップ 3: アラートの感度と音量のバランスが取れるように、トリガー カウントを高い値に増やします。
* ステップ 4: 構成を保存し、イベント生成を監視して、予想されるレベルと一致していることを確認します。
* 結論：
* トリガー数を増やすと、カスタム イベント ハンドラーによって生成されるイベントの数を効果的に減らすことができ、通知システムが過負荷になるのを防ぐことができます。
イベント ハンドラと構成に関する Fortinet ドキュメント FortiAnalyzer 管理ガイド イベント管理のベスト プラクティス Fortinet ナレッジベース カスタム イベント ハンドラのトリガー数を増やすことで、生成されるイベントの量を管理し、通知システムが過負荷になるのを防ぐことができます。

FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSIEM 7.3 インターフェースで提供されるトリガー イベントと生のメッセージの分析に基づきます。
* アクティブ偵察 (A):「トリガー イベント」テーブルには、単一の送信元 IP (10.200.3.219) が複数の異なる宛先 IP アドレス (10.200.200.166、.128、.129、.159、.
同じサービス（FTP/ポート21）で、同じポート番号（91）のFTPサーバへの接続が試行されました。各試行は、送信パケット1個と受信パケット0個で構成されます。この「1対多」の連続接続試行パターンは、水平ポートスキャンの特徴であり、アクティブ偵察の主要な手法です。
* 宛先ホストが応答しない (C): 生ログではアクションが「タイムアウト」と表示され、具体的には「sentpkt=1 rcvdpkt=0」と記載されています。FortiGateのログロジック（FortiSIEMが解析）では、受信パケット数が0の「タイムアウト」は、ファイアウォールがパケットを許可した（アクションが「拒否」ではなかった）ものの、セッションタイムアウト期間内に宛先ホストからSYN-ACKまたは応答を受信しなかったことを示しています。これは、宛先ホストがオフライン、存在しない、またはトラフィックをサイレントにドロップしている状態のいずれかであることを示しています。
他のオプションが間違っている理由:
* FortiGate がルーティングしていない (B): FortiGate がパケットをルーティングしていない場合、ログには通常、セッションの初期化が成功して「タイムアウト」で終了したことは示されず、ルーティング エラー/拒否が表示されます。
44 バイトが送信されたという事実は、FortiGate がトラフィックを処理して転送しようとしたことを示しています。
* FortiGate が戻りフローをブロックしています (D):戻りフローが FortiGate のセキュリティ ポリシーによってブロックされている場合、戻りトラフィックのアクションは通常「拒否」として記録され、セッション状態は一般的なセッションの「タイムアウト」ではなくポリシー違反を反映します。

* FortiAnalyzer の役割について理解する:
* FortiAnalyzer は、コレクター モードとアナライザー モードという 2 つの主なモードで動作できます。
* コレクター モード: さまざまなデバイスからログを収集し、詳細な分析のためにアナライザー モードで動作している別の FortiAnalyzer に転送します。
* アナライザー モード: 詳細なログ分析、レポート、インシデント管理を提供します。
* FortiAnalyzerをコレクターデバイスとして設定する手順:
* A. ログ圧縮を有効にする:
* ログ圧縮を有効にするとストレージ容量を節約できますが、コレクター モードで FortiAnalyzer を構成するために特に必要な手順ではありません。
* オプションであり、コレクター構成プロセスに直接関係しないため、選択されません。
* B. アナライザーモードでFortiAnalyzerへのログ転送を構成する:
* コレクター FortiAnalyzer によって収集されたログが、詳細な処理のためにアナライザー FortiAnalyzer に送信されるようにするために不可欠です。
* FortiAnalyzer をコレクター デバイスとして構成する上で重要な手順であるため選択されました。
* ステップ 1: FortiAnalyzer インターフェイスにアクセスし、ログ転送設定に移動します。
* ステップ 2: アナライザー モードで FortiAnalyzer の IP アドレスと必要な資格情報を指定して、ログ転送を構成します。
ログ転送に関するフォーティネットのドキュメント FortiAnalyzer ログ転送
C). アーカイブに重点を置くようにデータポリシーを構成する:
データ ポリシー構成は通常、FortiAnalyzer 内でのログの保存方法と管理方法に関係しており、コレクター デバイスのセットアップではアーカイブに重点を置くことは特に必要ではない場合があります。
コレクター モードを構成するために必要な手順ではないため、選択されません。
D). 接続インターフェースでファブリック認証を設定します。
セキュリティ ファブリック内の FortiAnalyzer デバイス間の安全で認証された通信を確保するために必要です。
安全な統合と通信に不可欠であるため選択されました。
ステップ 1: FortiAnalyzer インターフェイスにアクセスし、Fabric 認証設定に移動します。
ステップ 2: 他の Fortinet デバイスおよび FortiAnalyzer への接続に使用するインターフェイスで Fabric 認証を有効にします。
参考: ファブリック認証に関するフォーティネットのドキュメント FortiAnalyzer ファブリック認証実装の概要:
収集されたログがアナライザーに送信されるよう、ログ転送を構成します。
ファブリック認証を有効にして、セキュリティ ファブリック内での安全な通信と統合を確保します。
結論：
ログ転送とファブリック認証の構成は、FortiAnalyzer をコレクター デバイスとして設定し、分析のために適切なログ収集と転送を確実に行うための重要な手順です。
参考文献:
Fortinet の FortiAnalyzer の役割と構成に関するドキュメント、FortiAnalyzer 管理ガイド。アナライザー モードで FortiAnalyzer へのログ転送を構成し、接続インターフェイスでファブリック認証を有効にすることで、コレクター デバイスとしての FortiAnalyzer の適切なセットアップを確実に行うことができます。