Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fortinet FortiGate

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können Fortinet FortiGate in Sophos Central integrieren. Dadurch kann FortiGate Firewall-Warnungen an Sophos zur Analyse senden.

Diese Integration verwendet einen Protokollsammler auf einer virtuellen Maschine (VM). Der Protokollsammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Fortinet FortiGate Firewalls zu demselben Protokollsammler hinzufügen.

Richten Sie dazu Ihre Fortinet FortiGate-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Fortinet FortiGate Firewalls, um Protokolle an denselben Sophos Protokollsammler zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Damit wird eine Open Virtual Appliance (OVA)-Datei konfiguriert.
  • Stellen Sie die OVA-Datei auf Ihrem ESXi-Server bereit. Dies wird zu Ihrem Protokollsammler.
  • Konfigurieren Sie FortiGate so, dass Daten an den Protokollsammler gesendet werden.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Bedrohungsanalyse-Center > Integrationen.
  3. Klicken Sie auf Fortinet FortiGate.

    Wenn Sie bereits Verbindungen zu FortiGate eingerichtet haben, sehen Sie diese hier.

  4. Klicken Sie unter Integrationen auf Integration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrationsschritten konfigurieren Sie Ihre VM so, dass sie Daten von FortiGate empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Geben Sie den Namen der virtuellen Appliance und eine Beschreibung der virtuellen Appliance ein.
  3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).
  4. Geben Sie die internetseitigen Netzwerk-Ports an.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

    Sie benötigen die Adresse der VM und die Portnummer später, wenn Sie FortiGate so konfigurieren, dass Daten an die VM gesendet werden.

  5. Wählen Sie ein Protokoll aus.

  6. Füllen Sie alle übrigen Felder im Formular aus.
  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Es kann einige Minuten dauern, bis die OVA-Datei bereit ist.

VM bereitstellen

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Verwenden Sie die OVA-Datei, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf OVA herunterladen.
  2. Wenn der Download der OVA-Datei abgeschlossen ist, stellen Sie sie auf Ihrem ESXi-Server bereit. Ein Assistent führt Sie durch den Prozess. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

FortiGate konfigurieren

Jetzt konfigurieren Sie FortiGate so, dass Alarme an den Sophos-Protokollsammler auf der VM gesendet werden.

  1. Melden Sie sich an der Befehlszeilenschnittstelle (CLI) an.
  2. Geben Sie die folgenden Befehle ein, um die Syslog-Weiterleitung zu aktivieren und Daten an den Protokollsammler zu senden. Stellen Sie sicher, dass Sie die richtigen Befehle für Ihre FortiGate-Version verwenden.

    config log syslogd setting
    set status enable
    set facility user
    set port [port number of your VM]
    set server [IP address of your VM]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [port number of your VM]
    set server [IP address of your VM]
    set format cef
    set reliable disable
    end
    

Hinweis

Sie können bis zu vier Syslog-Server konfigurieren. Ersetzen Sie einfach syslogd durch syslogd2, sylsogd3 oder syslogd4 in der ersten Zeile, um jeden Syslog-Server zu konfigurieren.

Ihre FortiGate-Alarme sollten jetzt nach der Validierung im Sophos Data Lake angezeigt werden.

Alarme anpassen

Die meisten FortiGate-Funktionen werden standardmäßig protokolliert. Um sicherzustellen, dass die Funktionen für Datenverkehr, Web- und URL-Filterung protokolliert werden, geben Sie die folgenden Befehle ein:

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

FortiGate 5.4 und höher kann auch verweisende URLs protokollieren. Eine verweisende URL ist die Adresse der Webseite, auf der ein Benutzer auf einen Link geklickt hat, um zur aktuellen Seite zu gelangen. Dies ist nützlich für die Analyse der Internetnutzung.

Gehen Sie wie folgt vor, um die Protokollierung der verweisende URL für jedes Web-Profil zu aktivieren:

config webfilter profile
edit [Name Ihres Profils]
set log-all-url enable
set web-filter-referer-log enable
end

Weitere Ressourcen

Dieses Video führt Sie durch die Einrichtung der Integration.

Weitere Informationen zur Protokollierung auf einem Remote-Syslog-Server finden Sie im Fortinet Logging and Reporting Guide.