Skip to main content

FortiGate-FortiAnalyzer (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

  • На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор

image.png

  • На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису).

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer

image.png

  • На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать community-нормализатор FortiGate-FortiAnalyzer (CEF). Как альтернативный вариант, можно использовать предустановленный нормализатор [OOTB] CEF, но данный нормализатор не обеспечивает парсинг специфичных полей FortiGate, например, virus, attack и других. 

image.png

  • Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
  • На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).

image.png

  • На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса в столбце Статус в веб-интерфейсе KUMA появится зеленая индикация.

image.png


Настройка FortiAnalyzer

Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:

  • Перейдите в System Settings > Log Forwarding
  • Нажмите Create New

image.png

  • В появившемся окне Create New Log Forwarding укажите:
    • Name - KUMA CEF
    • Status - Включено
    • Remote Server Type - Common Event Format (CEF)
    • Server FQDN/IP - <IP-адрес или FQDN сервера коллектора KUMA>
    • Server Port - <Укажите порт, указанный на шаге Транспорт при создании сервиса коллектора>
    • Reliable Connection - Включено
    • Опционально фильтры в секции Log Forwarding Filters
  • Нажмите ОК

image.png

  • Убедитесь, что параметры нового сервера для пересылки событий сохранены.

image.png


Проверка поступления событий FortiGate в KUMA

Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события FortiGate.

image.png


Полезные ссылки