Vai al contenuto
Il supporto che offriamo per MDR.

Fortinet FortiGate

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Il software Fortinet FortiGate può essere integrato con Sophos Central. Questo permette a FortiGate di inviare avvisi del firewall a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più firewall Fortinet FortiGate sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione Fortinet FortiGate in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri firewall Fortinet FortiGate per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta dati.
  • Configurare FortiGate in modo che invii dati all’agente di raccolta dati.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Fortinet FortiGate.

    Se sono già state configurate connessioni a FortiGate, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da FortiGate. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).

  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM e il numero di porta saranno necessari in un secondo momento, durante la configurazione di FortiGate per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di FortiGate

A questo punto, occorre configurare FortiGate in modo che invii avvisi all’agente di raccolta dati Sophos sulla VM.

  1. Accedere all’interfaccia della riga di comando (CLI).
  2. Immettere i seguenti comandi per attivare l’inoltro di syslog e inviare dati al proprio agente di raccolta dati. Assicurarsi di utilizzare i giusti comandi in base alla versione di FortiGate utilizzata.

    config log syslogd setting
    set status enable
    set facility user
    set port [numero di porta della propria VM]
    set server [indirizzo IP della propria VM]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [numero di porta della propria VM]
    set server [indirizzo IP della propria VM]
    set format cef
    set reliable disable
    end
    

Nota

FortiGate permette di configurare fino a quattro server syslog. Basta sostituire syslogd con syslogd2, sylsogd3 o syslogd4 nella prima riga per configurare ciascun server syslog.

Gli avvisi di FortiGate dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Personalizzazione degli avvisi

La maggior parte delle funzionalità di FortiGate vengono registrate nei log per impostazione predefinita.

Per assicurarsi che vengano registrate nei log le funzionalità relative al traffico, al web e al filtro degli URL, immettere i seguenti comandi:

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

FortiGate 5.4 e versioni successive possono anche registrare nei log gli URL referrer. Un URL referrer è l’indirizzo della pagina web in cui un utente ha cliccato su un link per aprire la pagina corrente. Questa opzione è utile per le analisi dell’utilizzo del web.

Per attivare la registrazione nei log degli URL referrer per tutti i profili web, procedere come segue:

config webfilter profile
edit [nome del profilo]
set log-all-url enable
set web-filter-referer-log enable
end

Ulteriori risorse

Questo video mostra come configurare l’integrazione.

Per maggiori informazioni sull’invio di log a un server syslog remoto, consultare la Guida ai log e alla reportistica di Fortinet.