コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Fortinet FortiGate

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Fortinet FortiGate を Sophos Central と統合することができます。これによって FortiGate は、ソフォスでの解析用にファイアウォール警告を送信することができます。

この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

複数の Fortinet FortiGate ファイアウォールを同じログコレクタに追加できます。

これを行うには、Fortinet FortiGate 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Fortinet FortiGate ファイアウォールを設定して、この同じソフォスのログコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
  • OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
  • ログコレクタにデータを送信するよう FortiGate を設定します。

統合の追加

統合を追加するには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. 脅威解析センタ- > 統合」を参照します。
  3. Fortinet FortiGate をクリックします。

    既に FortiGate への接続を設定済みの場合は、ここに表示されます。

  4. 統合」で、「統合の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細を聞かれます。詳細は、ドメインと IP アドレスを参照してください。

    統合手順が表示されます。

VM の設定

統合手順」で は、Fortigate からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。
  2. 仮想アプライアンス名」と「仮想アプライアンスの説明」を入力します。
  3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
  4. インターネットに接続するネットワークポートを指定します。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

    データを送信するように Fortigate を設定する場合は、後で VM のアドレスおよびポート番号が必要になります。

  5. プロトコルを選択します。

  6. フォームの残りのフィールドに入力します。
  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。QVA ファイルの準備が完了するまで、数分かかることがあります。

VM の導入

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。

新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。

  1. 統合のリストの、「アクション」で「OVAのダウンロード」をクリックします。
  2. OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

FortiGate の設定

次に、VM のソフォスログコレクタにアラートを送信するように FortiGate を設定します。

  1. CLI (Command Line Interface) を使用してサインインします。
  2. 次のコマンドを入力して、syslog 転送をオンにし、データをログコレクタに送信します。FortiGate バージョンに適した正しいコマンドを使用していることを確認してください。

    config log syslogd setting
    set status enable
    set facility user
    set port [VM のポート番号]
    set server [VM の IP アドレス]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [VM のポート番号]
    set server [VM の IP アドレス]
    set format cef
    set reliable disable
    end
    

FortiGate 上には、最大 4 個の syslog サーバーを構成できます。各 syslog サーバーを構成するには、最初の行の syslogdsyslogd2sylsogd3、または syslogd4 に置き換えます。

これで、検証後に FortiGate アラートが Sophos Data Lake に表示されます。

アラートのカスタマイズ

ほとんどの FortiGate 機能はデフォルトでログに記録されます。トラフィック、Web、および URL フィルタリング機能がログに記録されていることを確認するには、次のコマンドを入力します。

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

FortiGate 5.4 以降では、リファラー URL をログに記録することもできます。リファラー URL は、ユーザーが現在のページに移動するためにリンクをクリックした Web ページのアドレスです。これは、Web 使用状況解析に便利です。

各 Web プロファイルのリファラー URL ロギングをオンにするには、次の手順を実行します。

config webfilter profile
edit [プロファイル名]
set log-all-url enable
set web-filter-referer-log enable
end

その他のリソース

このビデオでは、統合の設定手順について説明します。

リモート syslog サーバーへのログの詳細は、Fortinetの「ログおよびレポートガイド」を参照してください。