Fortinet FortiAnalyzer(로그 수집기)
이 기능을 사용하려면 "Firewall" 통합 라이선스 팩이 있어야 합니다.
참고
이러한 통합을 통해 FortiAnalyzer Appliance 및 VM Subscription 제품은 Sophos로 데이터를 전달할 수 있습니다. 그러나 FortiAnalyzer Cloud는 보안 이벤트를 비롯한 로그를 전달할 수 없으므로 이 통합과 호환되지 않습니다. FortiAnalyzer 클라우드의 제한 사항을 참조하십시오.
참고
FortiAnalyzer의 API 기반 통합도 사용할 수 있습니다. Fortinet FortiAnalyzer (API)을 참조하십시오.
Sophos Central에 Fortinet FortiAnalyzer 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.
주요 단계
통합을 구성하는 주요 단계는 다음과 같습니다.
- 이 제품에 대한 통합을 추가합니다. 이 단계에서는 어플라이언스의 이미지를 생성합니다.
- VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
- 어플라이언스로 데이터를 보내도록 FortiAnalyzer를 구성합니다.
요구 사항
어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.
통합 추가
통합을 추가하려면 다음과 같이 하십시오.
- Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
-
Fortinet FortiAnalyzer(로그 수집기)를 클릭합니다.
Fortinet FortiAnalyzer(로그 수집기) 페이지가 열립니다. 여기에서 통합을 구성하고 이미 구성한 목록을 볼 수 있습니다.
-
데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.
참고
이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 도메인 및 IP 세부 정보 입력을 참조하십시오.
통합 설정 단계가 나타납니다.
어플라이언스 구성
통합 설정 단계에서 새 어플라이언스를 구성하거나 기존 어플라이언스를 사용할 수 있습니다.
여기서는 새 어플라이언스를 구성한다고 가정합니다. 이렇게 하려면 다음과 같이 이미지를 만듭니다.
- 통합 이름과 설명을 입력합니다.
- 새 어플라이언스 만들기를 클릭합니다.
- 어플라이언스의 이름 및 설명을 입력합니다.
- 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.
-
인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 VM에 대한 관리 인터페이스가 설정됩니다.
-
IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.
참고
DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.
-
네트워크 설정을 지정하려면 수동을 선택합니다.
-
-
Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.
나중에 어플라이언스로 데이터를 보내도록 FortiAnalyzer를 구성할 때 이 syslog IP 주소가 필요합니다.
-
프로토콜을 선택합니다.
어플라이언스로 데이터를 전송하도록 FortiAnalyzer를 구성할 때 동일한 프로토콜을 사용해야 합니다.
-
저장을 클릭합니다.
통합이 만들어지고 목록에 나타납니다.
통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 FortiAnalyzer를 구성할 때 필요합니다.
VM 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.
어플라이언스 배포
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 다른 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
다음과 같이 이미지를 사용하여 어플라이언스를 구축합니다.
- 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
- 이미지 다운로드가 완료되면 VM에 배포하십시오. 어플라이언스 배포을 참조하십시오.
FortiAnalyzer 구성
이제 VM의 Sophos 어플라이언스에 경고를 보내도록 FortiAnalyzer를 구성합니다.
참고
FortiAnalyser의 여러 인스턴스를 구성하여 동일한 어플라이언스를 통해 Sophos로 데이터를 전송할 수 있습니다. 통합을 마친 후 FortiAnalyzer의 다른 인스턴스에 대해 이 섹션의 단계를 반복합니다. Sophos Central의 단계를 반복할 필요가 없습니다.
다음과 같이 FortiAnalyzer 콘솔에서 로그 전달을 구성할 수 있습니다.
- 시스템 설정 > 로그 전달 로이동합니다.
- '새로 만들기'를 클릭합니다.
-
새 로그 전달 만들기 페이지에서 다음 세부 정보를 입력합니다.
- 이름: 서버의 이름을 입력합니다(예: "Sophos appliance").
- 상태: 켜기 로 설정합니다.
- 원격 서버 유형: CEF(Common Event Format) 를 선택합니다.
- 서버 IP: 어플라이언스의 IP 주소입니다. 이것은 Sophos Central에서 설정한 syslog IP 주소입니다.
- 서버 포트: Sophos Central에서 설정한 포트 번호입니다.
- 안정적인 연결: TCP 연결을 사용하려면 이 기능을 켭니다. UDP 연결을 사용하려면 이 기능을 끕니다. 이것은 Sophos Central에서 이전에 설정한 프로토콜과 일치해야 합니다.
- 전송 빈도. 이 옵션을 건너뜁니다. FortiAnalyzer 서버에만 해당됩니다.
- 로그 전달 필터: FortiAnalyzer에는 필터를 적용하지 않는 것이 좋습니다. Sophos는 어플라이언스에 필터링을 적용합니다.
- OK을 클릭합니다.
FortiAnalyzer 장치가 어플라이언스로 로그를 전달하기 시작합니다.