Ir directamente al contenido
Español
Stoïk
  • No hay sugerencias porque el campo de búsqueda está vacío.

Implementación de la recopilación de registros Fortinet

Guía de integración de los registros FortiGate hacia XDR

Esta guía detalla los pasos necesarios para configurar la redirección de los registros FortiGate hacia su solución XDR mediante el protocolo Syslog. Esta configuración es necesaria para que nuestros equipos puedan recopilar estos registros de forma segura en su entorno.

1. Requisitos previos para la integración de su cortafuegos


Para garantizar la integración óptima de su cortafuegos con el servidor syslog, debe disponer de los siguientes elementos, que le serán proporcionados por nuestros equipos en un archivo comprimido.

Debería encontrar en él:

  • Un certificado de cliente válido y su clave privada (en forma de archivo con el formato "stoik-CLIENT.p12")
  • El certificado de una autoridad raíz (un archivo llamado "StoikCA.crt")
  • El nombre de dominio completo del servidor syslog (en el archivo "README.txt")
  • El número de puerto de comunicación del servidor syslog (en el archivo "README.txt")

El archivo en formato p12 está protegido por una contraseña que se le transmitirá por un canal alternativo.

En función de su contexto, nuestro equipo también le proporcionará la lista de los tipos de eventos que se deben enviar al servidor syslog. Esta lista será necesaria en el paso 2.3 de este artículo.

Nota importante: Si no se le han comunicado algunos de estos elementos o si encuentra dificultades, póngase en contacto con nuestro equipo técnico, que le asistirá en este proceso.

2. Configuración en FortiGate

2.1 Importación del certificado de usuario

  1. Vaya a System > Certificates > Create/Import > Certificate > File
  2. Importe el certificado en formato p12 proporcionado en los requisitos previos e introduzca la contraseña proporcionada por nuestro equipo

  3. Verifique que el certificado aparece en la lista de certificados

2.2 Configuración del servidor Syslog

Configure los parámetros Syslog a través de la interfaz CLI de FortiGate:

  1. Acceda a la interfaz CLI (por consola o SSH)
  2. Ejecute los siguientes comandos adaptando la dirección IP del servidor:
 
config log syslogd setting
set status enable
set server "x.x.x.x" # Sustituya x.x.x.x por el nombre de host del servidor syslog proporcionado
set mode reliable
set port yyyy # Sustituya yyyy por el puerto del servidor syslog proporcionado
set enc-algorithm high
set certificate "zzzzz" # Sustituya zzzzz por el nombre del certificado importado
end
 

2.3 Configuración de los registros a enviar

Configure los tipos de registros a enviar al servidor Syslog según los indicados en los requisitos previos compartidos por nuestro equipo técnico. El comando exacto a utilizar le será comunicado.

3. Verificación de la configuración


Después de haber configurado su FortiGate:

  1. Verifique el estado de la conexión Syslog con el comando:

    diagnose test application syslogd 1

  2. Confirme que los registros se envían correctamente al servidor:

    diagnose debug application syslogd -1
    diagnose debug enable
  3. Después de unos segundos, detenga el debug:
  diagnose debug disable

  

Una vez finalizada la configuración, por favor infórmenos para la correcta activación de la oferta XDR.