FortiGate-FortiAnalyzer (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису).
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать community-нормализатор FortiGate-FortiAnalyzer (CEF). Как альтернативный вариант, можно использовать предустановленный нормализатор [OOTB] CEF, но данный нормализатор не обеспечивает парсинг специфичных полей FortiGate, например, virus, attack и других.
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload
После успешной установки сервиса в столбце Статус в веб-интерфейсе KUMA появится зеленая индикация.
Настройка FortiAnalyzer
Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:
- Перейдите в System Settings > Log Forwarding
- Нажмите Create New
- В появившемся окне Create New Log Forwarding укажите:
- Name - KUMA CEF
- Status - Включено
- Remote Server Type - Common Event Format (CEF)
- Server FQDN/IP - <IP-адрес или FQDN сервера коллектора KUMA>
- Server Port - <Укажите порт, указанный на шаге Транспорт при создании сервиса коллектора>
- Reliable Connection - Включено
- Опционально фильтры в секции Log Forwarding Filters
- Нажмите ОК
- Убедитесь, что параметры нового сервера для пересылки событий сохранены.
Проверка поступления событий FortiGate в KUMA
Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события FortiGate.
Полезные ссылки
- Настройка пересылки событий с помощью Log Forwarding: https://docs.fortinet.com/document/fortianalyzer/7.2.9/administration-guide/621804/log-forwarding
- Описание типов и полей событий FortiGate: https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search
No Comments