Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Fortinet FortiGate

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar el software de Fortinet FortiGate con Sophos Central. Esto permite a FortiGate enviar alertas de firewall a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varios firewalls Fortinet FortiGate al mismo recopilador de datos.

Para ello, configure la integración de Fortinet FortiGate en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls Fortinet FortiGate para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar FortiGate para enviar datos al recopilador de datos.

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. Vaya a Centro de análisis de amenazas > Integraciones.
  3. Haga clic en Fortinet FortiGate.

    Si ya ha configurado conexiones con FortiGate, puede verlas aquí.

  4. En Integraciones, haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de FortiGate. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Introduzca un nombre y una descripción de la integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección y el número de puerto de la máquina virtual más tarde, cuando configure FortiGate para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en estar listo.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar FortiGate

Ahora puede configurar FortiGate para enviar alertas al recopilador de datos de Sophos en la VM.

  1. Inicie sesión en la interfaz de línea de comandos (CLI).
  2. Introduzca los siguientes comandos para activar el reenvío de Syslog y enviar datos al recopilador de datos. Asegúrese de utilizar los comandos correctos para su versión de FortiGate.

    config log syslogd setting
    set status enable
    set facility user
    set port [número de puerto de la máquina virtual]
    set server [dirección IP de la máquina virtual]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [número de puerto de la máquina virtual]
    set server [dirección IP de la máquina virtual]
    set format cef
    set reliable disable
    end
    

Nota

Puede configurar hasta cuatro servidores de Syslog en FortiGate. Basta con sustituir syslogd por syslogd2, sylsogd3 o syslogd4 en la primera línea para configurar cada servidor de Syslog.

Las alertas de FortiGate deberían aparecer en Sophos Data Lake después de la validación.

Personalizar alertas

La mayoría de las funciones de FortiGate se registran de forma predeterminada.

Para asegurarse de que se registran las funciones de tráfico, web y filtrado de URL, introduzca los siguientes comandos:

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

FortiGate 5.4 y las versiones posteriores también pueden registrar direcciones URL de referencia. Una dirección URL de referencia es la dirección de la página web en la que un usuario ha hecho clic en un enlace para ir a la página actual. Es útil para el análisis del uso de la web.

Para activar el registro de direcciones URL de referencia para cada perfil web, haga lo siguiente:

config webfilter profile
edit [nombre del perfil]
set log-all-url enable
set web-filter-referer-log enable
end

Más recursos

Este vídeo le muestra cómo configurar la integración.

Para obtener más información sobre el registro en un servidor de Syslog remoto, consulte la Guía de registro y generación de informes de Fortinet.