Fortinet Fortigate

Данное руководство содержит инструкцию по настройке сбора событий Fortigate на стороне источника и настройки сбора событий источника на строне SIEM.

Настройка Fortigate

Журналирование событий источника условно делится на 2 категории:

  • Журнал событий — хранит события системы, пользователей, конечных точек, события высокой доступности и другие.

  • Журнал трафика — хранит разрешенный трафик, запрещенный трафик, исходящий трафик.

Отправка сообщений журналов .log осуществляется посредством syslog.

Настройка может производиться через GUI или через CLI.

Настройка отправки событий через GUI

Для настройки отправки логов через GUI выполните следующие действия:

  1. Авторизируйтесь в веб-панели управления Fortigate.

  2. Перейдите в раздел Log Settings.

  3. Укажите адрес сервера Syslog.

  4. Установите переключатель Event Logging в положение All.

  5. Установите переключатель Local Traffic Log в положение All.

  6. Нажмите Apply для применения настроек.

GUI

Настройка отправки событий через CLI

Для настройки отправки логов через CLI выполните следующие действия:

  1. Подключитесь к устройству Fortigate через CLI.

  2. Перейдите в режим конфигурации syslog с помощью команды:

    config log syslogd setting

  3. Проверьте текущие настройки с помощью команды:

    get

    Убедитесь, что параметры настроены правильно. Например, status: enable, server: <syslog-server-ip>, port: 514.

  4. Измените режим отправки логов на надёжный (reliable) с помощью команды:

    set mode reliable

    После изменения режима порт автоматически сбрасывается на значение по умолчанию (514).

  5. Установите порт отправки логов, например, 31 121:

    set port 31121

  6. Убедитесь, что изменения применены, с помощью команды:

    get

    Проверьте, что параметры обновлены:

    mode                : reliable
port                : 31121

  7. Завершите настройку с помощью команды:

    end

Настройка в R-Vision SIEM

Для настройки получения события источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Syslog.

    • Порт точки входа: любой в диапазоне 30 000—​32 000.

    • Протокол: TCP.

  3. Добавьте на конвейер элемент Нормализатор с правилом "RV-N-37". Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Если настройка выполнена корректно, в хранилище начнут поступать события журналов.

Для поиска полученных событий сделайте следующее:

  1. Перейдите в меню "Поиск"

  2. В качестве фильтра установите выражение dvendor = "Fortinet" && dproduct = "Fortigate" fortinet fortigate v6 search data

Таблица маппинга

Таблица соответствия полей события представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение