Fortinet的防火墙

概述

防火墙监视您的网络和世界其他地方之间发生的事情,并可以监视诸如有多少数据从哪台计算机发送,数据流向哪里,以及谁正在接收数据等。

在你开始之前

对于某些Fortigate防火墙,管理控制台(UI)只允许您配置一个用于syslog转发的目的地。用于syslog转发的其他目的地必须从命令行配置。请确保在配置syslog服务器时,管理员应该选择该选项. csv禁用

可以找到关于如何配置其他目的地的说明在这里

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分选择防火墙图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择Fortinet防火墙
  6. 选择一个时区,或者选择只显示美国时区
  7. 可以选择发送未过滤的日志
  8. 配置任何高级事件源设置。
  9. 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
  10. 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并允许InsightOps和Fortinet Firewall在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。