Este artículo aborda cómo utilizar los campos de registro en el asunto o el cuerpo de los correos electrónicos cuando se configura una acción de automatización que envía notificaciones por email en FortiGate. Este tema es crucial para mejorar la gestión de alertas y el monitoreo efectivo, permitiendo a los administradores recibir información específica de eventos relevantes. A continuación, se detallarán los pasos para implementar esta funcionalidad, diagnósticos y recomendaciones.
Índice
Descripción del problema
Uno de los casos de uso comunes de Automation Stitches en FortiGate es recibir alertas por correo electrónico cuando se genera un registro específico. Utilizar logs como desencadenantes es esencial para la automatización de la respuesta ante incidentes de seguridad.
Alcance
Este artículo es aplicable a FortiGate 7.0 y versiones posteriores.
Diagnóstico paso a paso
Para empezar a utilizar los campos de registros en los correos electrónicos de las notificaciones, es fundamental identificar el nombre del campo del log, su tipo de dato y su descripción. Para esto, se puede consultar la Referencia de Mensajes de Log de FortiOS. Además, si se conoce el logID, la información específica del campo se puede localizar usando la siguiente URL:
https://docs.fortinet.com/document/fortigate/<versión FortiOS>/fortios-log-message-reference/<logid> <- Reemplace con los valores adecuados.
Por ejemplo, para encontrar los campos de registro para el logID 40704 en un FortiGate con la versión de FortiOS 7.2.8, se puede consultar esta documentación.
Solución recomendada
Para utilizar campos de log específicos en el asunto y el cuerpo de las notificaciones por email, se utiliza el parámetro %%log.logfield%%. Por ejemplo, si un administrador desea incluir el nombre del FortiGate en el asunto del correo, puede emplear el valor %%log.name%% (considerando que ‘name’ es un campo válido en el log). Esto es útil en escenarios donde la misma acción de automatización se ha configurado en múltiples FortiGates; así, tener identificadores en el asunto del correo facilita la diferenciación entre diferentes dispositivos sin necesidad de revisar el contenido completo del correo electrónico.
Comandos CLI utilizados
A continuación, se presentan ejemplos de comandos CLI que pueden ser útiles en la configuración de los Automation Stitches:
config log email settings: Este comando permite ajustar la configuración de envío de correos electrónicos en la plataforma FortiGate.set smtp-server: Configura el servidor SMTP que se utilizará para enviar correos electrónicos.set email-log: Este comando se utiliza para especificar qué campo del log se incluirá en el correo electrónico.
Buenas prácticas y recomendaciones
1. **Verificación Regular**: Asegúrese de que la configuración de correo electrónico esté siempre actualizada y funcione correctamente para evitar la pérdida de alertas críticas.
2. **Personalización de Asuntos**: Incluya identificadores únicos en los asuntos de los correos para cada dispositivo, esto facilita la gestión y respuesta a alertas.
3. **Configuraciones de Seguridad**: Asegúrese de que los servidores SMTP utilizados para enviar correos estén adecuadamente protegidos y cifrados.
Notas adicionales
Es recomendable estar familiarizado con los logs generados por FortiGate, ya que comprender su significado puede ser fundamental en la reacción ante incidentes. Así mismo, se sugiere realizar pruebas de envío de correos electrónicos periódicamente para verificar la funcionalidad del sistema de alertas.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!