Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Fortinet FortiGate

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Fortinet FortiGate ao Sophos Central. Isso permite que o FortiGate envie alertas de firewall à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários firewalls Fortinet FortiGate ao mesmo coletor de dados.

Para isso, configure a sua integração do Fortinet FortiGate no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Fortinet FortiGate para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure o FortiGate para enviar dados ao coletor de dados.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Fortinet FortiGate.

    Se já tiver configurado as conexões ao FortiGate, você as verá aqui.

  4. Em Integrações, clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do FortiGate. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço e do número da porta da VM mais tarde, ao configurar o FortiGate para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o FortiGate

Agora você configura o FortiGate para enviar alertas ao coletor de dados da Sophos na VM.

  1. Faça login na interface de linha de comando (CLI).
  2. Digite os seguintes comandos para ativar o encaminhamento de syslog e enviar dados para o seu coletor de dados. Certifique-se de usar os comandos corretos para a sua versão do FortiGate.

    config log syslogd setting
    set status enable
    set facility user
    set port [número da porta da sua VM]
    set server [endereço IP da sua VM]
    set mode udp
    set format cef
    end
    
    config log syslogd setting
    set status enable
    set facility user
    set port [número da porta da sua VM]
    set server [endereço IP da sua VM]
    set format cef
    set reliable disable
    end
    

Nota

Você pode configurar até quatro servidores syslog no FortiGate. Basta substituir syslogd por syslogd2, sylsogd3 ou syslogd4 na primeira linha para configurar cada servidor syslog.

Seus alertas do FortiGate agora devem aparecer no Sophos Data Lake após a validação.

Personalizar alertas

Por padrão, a maioria dos recursos do FortiGate é registrada em log.

Para garantir que os recursos de filtragem de tráfego, Web e URL sejam registrados em log, digite os seguintes comandos:

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

No FortiGate 5.4 e posterior também é possível registrar em log as URLs referenciadoras. Uma URL referenciadora é o endereço da página da Web em que um usuário clicou em um link para ir para a página atual. Isso é útil para a análise de uso da Web.

Para ativar o registro em log da URL referenciadora para cada perfil da Web, faça o seguinte:

config webfilter profile
edit [Nome do seu perfil]
set log-all-url enable
set web-filter-referer-log enable
end

Mais recursos

Este vídeo o direciona pela configuração de integração.

Para obter mais informações sobre como efetuar login em um servidor syslog remoto, consulte Fortinet’s Logging and Reporting Guide.