Fortinet FortiGate Security Gateway
IBM QRadar SIEM DSM for Fortinet FortiGate Security Gateway는 Fortinet FortiGate Security Gateway및 Fortinet FortiAnalyzer 제품에서 이벤트를 수집합니다.
참고: FortiWeb 에서 생성된 이벤트는 이제 FortiWeb DSM을 사용하여 구문 분석됩니다. 이전에는 이러한 이벤트가 FortiGate DSM에서 구문 분석되었습니다. 이러한 이벤트를 올바르게 구문 분석하려면 FortiWeb 로그 소스 유형을 구성해야 합니다.
다음 표는 Fortinet FortiGate Security Gateway DSM에 대한 스펙을 식별합니다.
스펙 |
값 |
|---|---|
제조업체 |
Fortinet |
DSM 이름 |
Fortinet FortiGate Security Gateway |
RPM 파일 이름 |
DSM-FortinetFortiGate-QRadar_version-build_number.noarch.rpm |
지원되는 버전 |
FortiOS 7.6.3 및 이전 |
프로토콜 |
Syslog Syslog Redirect |
기록되는 이벤트 유형 |
모든 이벤트 |
자동 감지 여부 |
예 |
ID 포함 여부 |
예 |
사용자 정의 특성 포함 여부 |
예 |
자세한 정보 |
포티넷 웹사이트 ( http://www.fortinet.com ) |
Fortinet FortiGate Security Gateway DSM을 QRadar와 통합하려면 다음 단계를 완료하십시오.
- 자동 업데이트가 활성화되지 않은 경우, IBM® 지원 웹 사이트에서 최신 버전의 Fortinet FortiGate 보안 게이트웨이 RPM을 QRadar Console 으로 다운로드하십시오:
- Syslog 경로 재지정 프로토콜 RPM을 다운로드하고 설치하여 Fortinet FortiAnalyzer를 통해 이벤트를 수집하십시오. Syslog 경로 재지정 프로토콜을 사용하는 경우 QRadar 는 이벤트를 전송한 특정 Fortinet FortiGate Security Gateway 방화벽을 식별할 수 있습니다.
- Fortinet FortiGate Security Gateway의 각 인스턴스에 대해 QRadar에 syslog 이벤트를 전송하도록 Fortinet FortiGate Security Gateway 시스템을 구성하십시오.
- QRadar 에서 Fortinet FortiGate Security Gateway에 대한 로그 소스를 자동으로 발견하지 않는 경우 로그 소스를 수동으로 추가할 수 있습니다. 프로토콜 구성 유형으로 Syslog를 선택한 후 매개변수를 구성하십시오.
- QRadar 포티넷에서 이벤트를 수신하려면 FortiAnalyzer, 로그 소스를 수동으로 추가합니다. 프로토콜 구성 유형으로 Syslog 경로 재지정을 선택한 후 매개변수를 구성하십시오.다음 표에는 Fortinet FortiAnalyzer 이벤트 콜렉션에 필요한 특정 매개변수 값이 나열되어 있습니다.
Syslog 경로 재지정 프로토콜 매개변수 구성에 대한 자세한 정보는 Syslog 경로 재지정 프로토콜 개요를 참조하십시오.매개변수 값 로그 소스 ID RegEx devname= "? ([\w-]+) 청취 포트 517 프로토콜 UDP