FortiGate-FortiAnalyzer (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису):52
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать community-нормализатор FortiGate-FortiAnalyzer (CEF). Как альтернативный вариант, можно использовать предустановленный нормализатор [OOTB] CEF, но данный нормализатор не обеспечивает парсинг специфичных полей FortiAnalyzer с префиксом ad.<наименование поля> (например, ad.virus и другие).
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.
В случае отсутствия ошибок в выводе командной строки, прервите выполнение команды, после чего можно переходить к установке.
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reloadПосле успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.
Настройка CheckFortiAnalyzer
Пересылка NGFWсобытий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:
Для настройки
Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:
- С помощью SmartConsole (начиная с версии R81)
- В CLI
SmartConsole
- Создайте новый объект Log Exporter/SIEM:
- Выберите Objects > More object types > Server > Log Exporter/SIEM
- В поле Object Name введите имя для создаваемого объекта Log Exporter
- Перейдите во вкладку General:
- В секции Export Configuration активируйте флаг Enabled
- В секции Server Configuration:
- В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
- В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора
- В поле Protocol выберите протокол (TCP или UDP), указанный на шаге Транспорт при создании сервиса коллектора
- Перейдите во вкладку Data Manipulation:
- В поле Format выберите Common Event Format (CEF)
- (Опционально) активируйте флаг Aggregate log updates before export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
- (Опционально) Перейдите во вкладку Attachments:
- Активируйте флаги
- Add link to Log Details in SmartView
- Add link to Log Attachment in SmartView
- Add Log Attachment ID
- Активируйте флаги
- Нажмите ОК
- Выполните настройку параметров объекта Management Server или Dedicated Log Server / SmartEvent Server:
- В навигационной панели слева выберите Gateways & Servers
- Откройте объект Management Server or Dedicated Log Server / SmartEvent Server
- Слева выберите Logs > Export
- Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее
- Нажмите OK
- Нажмите Menu > Install database
- Выберите все объекты
- Нажмите Install
CLI
- Подключитесь к Management Server / Log Server
- Перейдите в режим Expert
- Настройте параметры Log Exporter
cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef- Запустите новый инстанс Log Exporter
cp_log_export restart name <Наименование конфигурации>Проверка поступления событий Check Point NGFW в KUMA
Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.
Полезные ссылки
Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323
Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192