Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Fortigate

Fortinet FortiGate

Coletor de log

You must have the "Firewall" integrations license pack to use this feature.

Você pode integrar o Fortinet FortiGate ao Sophos Central. Isso permite que o FortiGate envie alertas de firewall à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários firewalls Fortinet FortiGate ao mesmo coletor de dados.

Para isso, configure a sua integração do Fortinet FortiGate no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Fortinet FortiGate para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
  • Configure o FortiGate para enviar dados ao coletor de dados.

Requisitos

Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.

  3. Clique em Fortinet FortiGate.

    Se já tiver configurado as conexões ao FortiGate, você as verá aqui.

  4. Em Integrações, clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do FortiGate. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.

  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Fortigate para enviar dados ao seu coletor de dados.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Fortigate para enviar dados ao seu coletor de dados.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar o Fortigate para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o FortiGate

Agora você configura o FortiGate para enviar alertas ao coletor de dados da Sophos na VM.

  1. Faça login na interface de linha de comando (CLI).

  2. Digite os seguintes comandos para ativar o encaminhamento de syslog e enviar dados para o seu coletor de dados. Certifique-se de usar os comandos corretos para a sua versão do FortiGate.

    config log syslogd setting
set status enable
set facility user
set port <número da porta do seu coletor de dados>
set server <endereço IP do syslog do seu coletor de dados>
set mode udp
set format cef
end

    config log syslogd setting
set status enable
set facility user
set port [número da porta do seu coletor de dados]
set server [endereço IP do syslog do seu coletor de dados]
set format cef
set reliable disable
end

Nota

Você pode configurar até quatro servidores syslog no FortiGate. Basta substituir syslogd por syslogd2, sylsogd3 ou syslogd4 na primeira linha para configurar cada servidor syslog.

Seus alertas do FortiGate agora devem aparecer no Sophos Data Lake após a validação.

Personalizar alertas

Por padrão, a maioria dos recursos do FortiGate é registrada em log.

Para garantir que os recursos de filtragem de tráfego, Web e URL sejam registrados em log, digite os seguintes comandos. Certifique-se de usar os comandos corretos para a sua versão do FortiGate.

config log syslogd filter
set severity warning
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
end

config log syslogd filter
set traffic enable
set web enable
set url-filter enable
end

No FortiGate 5.4 e posterior também é possível registrar em log as URLs referenciadoras. Uma URL referenciadora é o endereço da página da Web em que um usuário clicou em um link para ir para a página atual. Isso é útil para a análise de uso da Web.

Para ativar o registro em log da URL referenciadora para cada perfil da Web, faça o seguinte:

config webfilter profile
edit [Nome do seu perfil]
set log-all-url enable
set web-filter-referer-log enable
end

Mais recursos

Este vídeo o direciona pela configuração de integração.

Para obter mais informações sobre como efetuar login em um servidor syslog remoto, consulte Fortinet’s Logging and Reporting Guide.