Descripción
Este artículo describe cómo sincronizar etiquetas y configuraciones de FortiClient EMS.
Alcance
Una nueva opción en la configuración de EMS de FortiClient consolida la configuración de los conectores EMS para admitir etiquetas EMS.
Las etiquetas EMS se extraen y se sincronizan automáticamente con el servidor EMS.
Ii se convierte en direcciones de firewall dinámicas de solo lectura que se pueden usar en políticas de firewall, enrutamiento, etc.
Solución
– Las etiquetas se han creado en Verificación de cumplimiento -> Reglas de verificación de cumplimiento página.
– Hay usuarios registrados que coinciden con las etiquetas definidas que son visibles en Verificación de cumplimiento -> Monitor de etiquetas de host página.
Para configurar FortiClient EMS con sincronización de etiquetas desde la GUI.
1) Configure el conector de tejido EMS:
– En la raíz FortiGate, vaya a Security Fabric -> Conectores Fabric
– Seleccione ‘Crear nuevo’ y seleccione ‘FortiClient EMS’.
– Habilite Sincronizar direcciones de firewall.
– Configure los demás ajustes según sea necesario y valide el certificado.
– Seleccione ‘Aceptar’.
2) Ir a Política y objetos -> Direcciones y coloque el cursor sobre la etiqueta EMS para ver a qué direcciones IP se resuelve.
3) Configure una política de firewall:
– Ir Política y objetos -> Política de cortafuegos y crear una nueva política.
– Para la Dirección de origen, agregue la dirección dinámica de la etiqueta EMS.
– Configure los otros ajustes según sea necesario.
– Seleccione ‘Aceptar’.
Para configurar FortiClient EMS con sincronización de etiquetas desde CLI.
Configure el conector de tejido EMS.
# config endpoint-control fctems
edit «ems137»
set fortinetone-cloud-authentication disable
set server «172.16.200.137»
set https-port 443
set source-ip 0.0.0.0
set pull-sysinfo enable
set pull-vulnerabilities enable
set pull-avatars enable
set pull-tags enable
set call-timeout 5000
set certificate «REMOTE_Cert_1»
next
end
Verifique en qué direcciones IP se resuelve la dirección del firewall dinámico.
# diagnose firewall dynamic list
List all dynamic addresses:
FCTEMS0580—–9_ems137_vuln_critical_tag: ID(118)
ADDR(10.1.100.120)
ADDR(10.1.100.198)
FCTEMS0580—–9_ems137_winscp_tag: ID(155)
ADDR(100.100.100.141)
FCTEMS0580—–9_ems137_win10_tag: ID(182)
ADDR(10.1.100.120)
# diagnose firewall dynamic address FCTEMS0580226579_ems137_vuln_critical_tag
FCTEMS0580—–9_ems137_vuln_critical_tag: ID(118)
ADDR(10.1.100.120)
ADDR(10.1.100.198)
Total dynamic list entries: 1.
Total dynamic addresses: 2
Total dynamic ranges: 0
Configure una política de firewall que utilice la dirección de firewall dinámica de la etiqueta EMS como fuente.