Настройка отправки событий с FortiGate (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий с FortiGate необходимо создать коллектор в веб-интерфейсе KUMA. Для этого перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне мастер настройки Создание коллектора:
- На шаге Подключение источников укажите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип и Порт в соответствии с настройками на стороне FortiGate
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
- На шаге Парсинг событий укажите нормализатор. В данном случае рекомендуется использовать предустановленный нормализатор [OOTB] Syslog-CEF (https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm).
- Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также корреляция по событиям добавьте точку назначения типа Коррелятор.
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).
Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.
В случае отсутствия ошибок в выводе командной строки, прервите исполнение в командной строке, после чего можно переходить к установке.
Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reloadПосле успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.
Настройка FortiGate
Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:
- Подключитесь к CLI FortiGate по SSH
- Перейдите в секцию настройки параметров Syslog:
config log syslogd setting- Выполните настройку параметров Syslog:
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по TCP
set port <порт, заданный в параметрах коллектора KUMA>
set source-ip <IP-адрес интерфейса FortiGate, с которого будет выполняться отправка событий> # [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMeA с помощью команды set interface <наименование интерфейса> [опционально]
endПроверка поступления событий FortiGate в KUMA
Для проверки, что сбор событий с FortiGate успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события с FortiGate.
Приложение А. Использование шифрования при передаче событий
Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:
Полезные ссылки
Отправка событий в формате CEF:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Change-Source-IP-for-SYSLOG/ta-p/230218