コンテンツにスキップ

Fortinet Fortigate インテグレーションガイド🔗

Fortinetファイアウォールは、syslog経由でログをTaegis™ XDR Collectorに送信するように設定する必要があります。ファイアウォールログは、拒否されたトラフィックログの相関、ポートスキャン、広範なスキャン、内部ネットワークでのアウトブレイク、ピアツーピアファイル共有アクティビティ、既知の不正IPアドレス(Secureworks Counter Threat Unitが監視している既知のAPTターゲットエンドポイントを含む)へのアウトバウンドトラフィックなど、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。

以下の手順に従って、ログ転送を設定してください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Fortinet FortiGate XDR Collector (mgmt IP) UDP/514

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Fortigate Firewall Email Auth、DNS、HTTP、Netflow Antivirus、Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

設定手順🔗

Fortinet FortiGateアプライアンスは、セキュリティイベントおよび監査イベントを記録するように設定する必要があります。

FortiAnalyzerからFortiGateログを転送する🔗

FortiGateログは、FortiAnalyzerからXDR Collectorへ転送できます。

ベンダーの手順に従い、こちらを参照して、FortiAnalyzerからXDRへFortiGateログを送信するように設定してください。

適切なCLIコマンドでXDR CollectorのIPアドレスとポートを使用してください。

FortiGateアプライアンスでSyslogサーバー設定を構成する🔗

Fortinet FortiGateアプライアンスでsyslog設定を構成し、イベントをXDR Collectorへ転送します。

Fortinet FortiGateアプライアンスでは、最大4つのsyslogサーバーを設定できます。すでに最初のsyslogd設定(config log syslogd setting)を使用している場合は、必要に応じてsyslogd2(config log syslogd2 setting)、syslogd3(config log syslogd3 setting)、またはsyslogd4(config log syslogd4 setting)を使用できます。


#「config log syslogd setting」または必要に応じて「config log syslogd2|syslogd3|syslogd4 setting」を入力
myfortigate01 # config log syslogd setting
myfortigate01 (setting) # set status enable
myfortigate01 (setting) # set format default
myfortigate01 (setting) # set facility local5
myfortigate01 (setting) # set mode udp
Port changed to default (514)
myfortigate01 (setting) # set port 514
myfortigate01 (setting) # set server "XDR Collector IP Address"
myfortigate01 (setting) # end

Syslogフィルタリングの構成🔗

すべてのログがXDR Collectorに送信されるように、syslogのログレベルはinformationalに設定し、すべてのログフィルターをenabledに設定してください。

注意

表示されているsyslogdフィルターはFortiOSバージョンによって異なります。すべてのフィルターを有効にしないと、そのカテゴリのログを受信できません。


#「config log syslogd filter」または必要に応じて「config log syslogd2|syslogd3|syslogd4 filter」を入力
myfortigate01 # config log syslogd filter
myfortigate01 (filter) # set severity information
myfortigate01 (filter) # set forward-traffic enable
myfortigate01 (filter) # set local-traffic enable
myfortigate01 (filter) # set multicast-traffic enable
myfortigate01 (filter) # set sniffer-traffic enable
myfortigate01 (filter) # set anomaly enable
myfortigate01 (filter) # set voip enable
myfortigate01 (filter) # end

Syslogイベントフィルタリングの構成🔗

システムイベントログは、構成変更、管理者ログイン、高可用性(HA)イベントなど、管理およびデバイス固有のアクティビティイベントを記録します。すべてのsystem eventログカテゴリが有効になっていることを確認してください。

重要

Fortigateデバイスで複数のVDOMを使用している場合は、この手順を各VDOMで実施する必要があります。

注意

表示されているカテゴリはFortiOSバージョンによって異なります。すべてのカテゴリを有効にしないと、そのカテゴリのログを受信できません。ご利用のFortiOSバージョンにおけるconfig log eventfilter CLIコマンドで適用可能なカテゴリについては、ベンダーのドキュメントを参照してください。


#「config vdom」および「edit (vdom_name)」コマンドは、複数のVDOMが有効な場合のみ必要です
myfortigate01 # config vdom
myfortigate01 # (vdom) # edit root
current vf=root:0
myfortigate01 (root) # config log eventfilter
myfortigate01 (eventfilter) # set event enable
myfortigate01 (eventfilter) # set system enable
myfortigate01 (eventfilter) # set vpn enable
myfortigate01 (eventfilter) # set user enable
myfortigate01 (eventfilter) # set router enable
myfortigate01 (eventfilter) # set wireless-activity enable
myfortigate01 (eventfilter) # set wan-opt enable
myfortigate01 (eventfilter) # set endpoint enable
myfortigate01 (eventfilter) # set ha enable
myfortigate01 (eventfilter) # set security-rating enable
myfortigate01 (eventfilter) # set fortiextender enable
myfortigate01 (eventfilter) # set connector enable
myfortigate01 (eventfilter) # end
myfortigate01 (root) # end
myfortigate01 #
#注意: 上記のeventfilter手順を各VDOMごとに繰り返してください

ファイアウォールポリシーのセッション開始時ログ記録の構成🔗

各ポリシーで、セッション開始時にログ記録を開始するように設定します。これにより、Secureworks® Taegis™ XDRはセッション開始時からイベントを相関できます。


#各VDOMごとに、すべてのポリシーへアクセス
#「config firewall policy」を入力
swrx01uspvdfw04 (root) # config firewall policy
swrx01uspvdfw04 (root) # edit (id) #ポリシーID番号
swrx01uspvdfw04 (root) # set logtraffic-start enable
swrx01uspvdfw04 (root) # end

注意

「set logtraffic-start」設定は、新しいポリシーでも有効にしてください。

ファイアウォールポリシーログ記録の構成🔗

ファイアウォールを通過するネットワークトラフィックを記録するには、各ファイアウォールポリシールール内でログ記録を有効にしてください。

許可トラフィックのログ記録例🔗

CLI:


「config vdom」および「edit (vdom_name)」コマンドは、複数のVDOMが有効な場合のみ必要です
myfortigate01 # config vdom
myfortigate01 # (vdom) # edit root
current vf=root:0
myfortigate01 (root) # config firewall policy
myfortigate01 (policy) # edit 1
myfortigate01 (1) # set logtraffic all
myfortigate01 (1) # end
注意: 上記の手順を各VDOMの各ファイアウォールルールごとに繰り返してください

拒否トラフィックのログ記録例🔗

CLI:


「config vdom」および「edit (vdom_name)」コマンドは、複数のVDOMが有効な場合のみ必要です
myfortigate01 # config vdom
myfortigate01 # (vdom) # edit root
current vf=root:0
myfortigate01 (root) # config firewall policy
myfortigate01 (policy) # edit 2
myfortigate01 (2) # set logtraffic all
myfortigate01 (2) # end
注意: 上記の手順を各VDOMの各ファイアウォールルールごとに繰り返してください