Aller au contenu
Découvrez comment nous prenons en charge MDR.

Fortinet FortiGate

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer les logiciels Fortinet FortiGate à Sophos Central. Cela permet à FortiGate d’envoyer des alertes de pare-feu à Sophos pour analyse.

Cette intégration utilise un outil de collecte des journaux sur une machine virtuelle (VM). L’outil de collecte des journaux reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs pare-feu Fortinet FortiGate au même collecteur de journaux Sophos.

Pour ce faire, configurez votre intégration FortiNet FortiGate dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite vos autres pare-feu Fortinet FortiGate pour envoyer des journaux au même collecteur de journaux Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre outil de collecte des journaux.
  • Configurer FortiGate pour qu’il envoie des données à l’outil de collecte des journaux.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Centre d’analyse des menaces > Intégrations.
  3. Cliquez sur Fortinet FortiGate.

    Si vous avez déjà configuré des connexions à FortiGate, vous les voyez ici.

  4. Dans Intégrations, cliquez sur Ajouter une intégration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes d’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données de FortiGate. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Saisissez le nom de domaine et sa description.
  2. Saisissez le Nom de l’appliance virtuelle et la Description de l’appliance virtuelle.
  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).
  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle et du numéro de port plus tard, pour lui permettre de recevoir des données à partir de FortiGate.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer FortiGate

Maintenant, vous configurez FortiGate pour qu’il envoie des alertes à l’outil de collecte des journaux de Sophos installée sur la machine virtuelle.

  1. Connectez-vous à l’interface de ligne de commande (CLI).
  2. Saisissez les commandes suivantes pour activer le transfert Syslog et envoyer des données à votre outil de collecte des journaux. Assurez-vous d’utiliser les bonnes commandes pour votre version FortiGate.

    config log syslogd setting
    set status enable
    set facility user
    set port [numéro de port de votre machine virtuelle]
    set server [adresse IP de votre machine virtuelle]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [numéro de port de votre machine virtuelle]
    set server [adresse IP de votre machine virtuelle]
    set format cef
    set reliable disable
    end
    

Remarque

Vous pouvez configurer jusqu’à quatre serveurs Syslog dans FortiGate. Il suffit de remplacer syslogd par syslogd2, sylsogd3 ou syslogd4 dans la première ligne pour configurer chaque serveur Syslog.

Vos alertes FortiGate devraient maintenant apparaître dans Sophos Data Lake après validation.

Personnaliser les alertes

La plupart des fonctions FortiGate sont journalisées par défaut. Pour assurer la journalisation des fonctions de filtrage du trafic, du Web et des URL, saisissez les commandes suivantes :

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

Les versions 5.4 et ultérieures de FortiGate peuvent également journaliser les URL de référent. Une URL de référent est l’adresse de la page Web où un utilisateur a cliqué sur un lien pour accéder à la page en cours. Cette information permet d’analyser l’utilisation du Web.

Pour activer la journalisation de l’URL du référent pour chaque profil Web, procédez de la manière suivante :

config webfilter profile
edit [Nom de votre profil]
set log-all-url enable
set web-filter-referer-log enable
end

Plus de ressources

Cette vidéo vous guide tout au long de la configuration de l’intégration.

Retrouvez plus de renseignements sur la connexion à un serveur syslog distant dans le Guide de connexion et d’édition de rapports de Fortinet.