EN
EN

SNMP ile FortiGate Cihazını FortiSIEM’e Ekleme


FortiSIEM’ log toplamak istediğiniz cihazları farklı yollarla ekleyebilir. Bu yazıda SNMP ile FortiGate cihazların FortiSIEM entegrasyonu yapılacaktır.

FortiGate Üzerinde SNMP Konfigürasyonu

1. Firewalla admin olarak giriş yapılır.
2. System --> Network menüsüne girilir.
3. FortiSIEM’in FortiGate ile iletişim kurarken kullanacağı interface yapılandırılır.

İletişimi sağlayacak olan IP girilir. Administrative Access olarak SNMP ve SSH açılmalıdır.

4. Interface ayarları kaydedilir.
5. System --> SNMP menüsüne girilir.
6. İletişimi sağlayacak protokol olan SNMP ayarları yapılandırılır.

Community Name değeri daha sonra SIEM tarafında da kullanılacaktır.

IP Adresi olarak SIEM’in IP adresi girilir. Kalan ayarları default bırakarak işleme devam edilir.

7. Oluşturulan SNMP için source IP değeri girilir. Source-IP FortiSIEM ile FortiGate’in iletişim kuracağı networkün FortiGate üzerinde yapılandırılan IP adresidir.

CLI’da gerekli yapılandırmanın adımları gösterilmiştir. Editlenen snmp ve hosts bilgileri değişiklik gösterecektir, show komutu ile kontrol sağlayıp işlemler sürdürülmelidir.

8. FortiSIEM bir Administrave Access olduğu için trusted-host olarak IP adresi eklenmelidir.

System --> Administrastors altında var olan Admin profiline SIEM IP’si trusted host alanından eklenir.

SIEM FortiGate Konfigürasyonu

SIEM arayüzünde sürdürülecek adımlar esnasında ADMIN menüsü altından Credentials ve Discovery tablarını kullanılacaktır.

1. Admin --> Credentials --> Step 1: Enter Credentials --> New

Device Type Generic bırakılır, FortiGate’in device type’ını SIEM algılayacaktır.

Access Protocol olarak SNMP ile eklenileceği için SNMP seçilir.

Port olarak FortiGate üzerinde de kullandığımız 161 SNMP için default olarak gelecektir, böyle bırakılır.

Community String ve Confirm Community String olarak, FortiGate üzerinde girilen Community Name değeri girilir.

2. Admin --> Credentials --> Step 2: Enter IP Range to Credential Associations --> New

 

IP/IP Range olarak FortiGate ile FortiSIEM’in iletişim kurabilmesi için FortiGate üzerinde yapılandırılan interface’in IP adresi girilir.

Credentials olarak daha önce yapılandırılan credentials seçilir. Bu örnekte Test_FortiGate yapılandırılmıştır.

3. Admin --> Discovery --> New

Bu aşamada FortiSIEM ıp adresi üzerindeki cihazları tarayarak keşfeder.

Discovery Type range scan şeklinde default yapılandırılır.

Include alanına eklenecek olan IP adresi girilir.

4. Oluşturulan discovery seçilerek discover edilir.

5. Yeni bir sekme açılır, açılan sekmede FortiSIEM girilen networkü tarar.

Networkü taraması sonucunda bulduğu cihazları ekrana getirir. Eklenmek istenen FortiGate de bu ekranda görüntülenecektir.

6. Son olarak CMDB menüsü altında FortiGate cihaz device olarak eklenmiş olacaktır. Status’u Pending olarak gelebilir.

7. FortiGate cihaz seçilir ve Action seçeneklerinden Change Status seçilir.

8. Açılan pencerede status Approved olarak seçilir. Kaydedilir.

9. Analytics sekmesi altında logların geldiği görüntülenir.

Yazar: Fatma Zehra Taşkoparan/Beyaz Net Ağ Güvenlik Mühendisi