Fortinet FortiGate Security Gateway

O IBM QRadar SIEM DSM for Fortinet FortiGate Security Gateway coleta eventos de produtos Fortinet FortiGate Security Gateway e Fortinet FortiAnalyzer .

Observação: Os eventos gerados por FortiWeb agora são analisados usando o DSM de FortiWeb. Anteriormente, esses eventos eram analisados de acordo com o DSM FortiGate. Para analisar esses eventos corretamente, você precisa configurar um FortiWeb Log Source Type.

A tabela a seguir identifica as especificações para o DSM Fortinet FortiGate Security Gateway:

Tabela 1. Especificações de DSM Fortinet FortiGate Security Gateway

Especificação

Valor

Fabricante

Fortinet

Nome do DSM

Fortinet FortiGate Security Gateway

Nome do arquivo RPM

DSM-FortinetFortiGate-QRadar_version-build_number.noarch.rpm

Versões Suportadas

FortiOS 7.6.3 e anteriores

Protocolo

Syslog

Syslog Redirect

Tipos de eventos registrados

Todos os eventos

Descoberta automática?

Sim

Inclui identidade?

Sim

Inclui propriedades customizadas?

Sim

Informações adicionais

Site da Fortinet ( http://www.fortinet.com )
Para integrar o DSM Fortinet FortiGate Security Gateway ao QRadar, conclua as etapas a seguir:
  1. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente do Fortinet FortiGate Security Gateway RPM do site de suporte IBM® em seu computador QRadar Console:
  2. Faça download e instale o RPM do protocolo Syslog Redirect para coletar eventos por meio do Fortinet FortiAnalyzer. Quando você usa o protocolo Syslog Redirect, o QRadar pode identificar o firewall do Fortinet FortiGate Security Gateway específico que enviou o evento.
  3. Para cada instância do Fortinet FortiGate Security Gateway, configure o seu sistema Fortinet FortiGate Security Gateway para enviar eventos syslog para o QRadar
  4. Se o QRadar não detectar automaticamente a origem de log para o Fortinet FortiGate Security Gateway, será possível incluir manualmente a fonte de log Para obter o tipo de configuração de protocolo, selecione Syslog e, em seguida, configure os parâmetros.
  5. Se quiser que o QRadar receba eventos do Fortinet FortiAnalyzer, adicione manualmente a origem do registro. Para obter o tipo de configuração de protocolo, selecione Redirecionamento de Syslog e, em seguida, configure os parâmetros.
    A tabela a seguir lista os valores de parâmetros específicos que são obrigatórios para a coleção de eventos do Fortinet FortiAnalyzer:
    Parâmetro Valor
    Log Source Identifier Regex devname="?([\w-]+)
    Porta de Atendimento 517
    Protocolo UDP
    Para obter mais informações sobre a configuração de parâmetros do protocolo Syslog Redirect, consulte Visão geral do protocolo Syslog Redirect.