Este artículo aborda un problema común en la gestión de registros entre FortiGate y FortiManager. La sincronización de registros es crucial para mantener una visibilidad precisa de la seguridad de la red y la respuesta ante incidentes. A continuación, se describirán los pasos necesarios para configurar correctamente FortiManager para que actúe como dispositivo de registro y reporte, garantizando una gestión efectiva de los logs generados.
Índice
Descripción del problema
Cuando la función FortiAnalyzer está habilitada en FortiManager, puede ser un desafío enviar registros desde FortiGate. La correcta configuración de estos dispositivos es vital para asegurar que los registros se gestionen de forma adecuada, lo que permite una mejor monitorización y análisis de la seguridad.
Alcance
Este artículo se centra en la configuración de FortiGate para que envíe registros a FortiManager, asegurando que se utilicen las capacidades de FortiAnalyzer efectivamente en el contexto de la seguridad de la red.
Diagnóstico paso a paso
Para diagnosticar y configurar correctamente la conexión entre FortiGate y FortiManager, sigamos detalladamente los siguientes pasos:
- Verificar la conexión de red entre FortiGate y FortiManager.
- Asegurarse de que FortiManager está configurado para recibir logs.
- Confirmar que la función FortiAnalyzer está habilitada en FortiManager.
Solución recomendada
FortiManager puede actuar como un dispositivo de registro y reporte, pero requiere recursos adicionales (CPU, memoria y disco) para procesar los logs y reportes. Para habilitar correctamente la función FortiAnalyzer en FortiManager, siga este enlace y consulte el documento relacionado. Consejo Técnico: Cómo habilitar las características de FortiAnalyzer en FortiManager.
En FortiGate, es necesario establecer a FortiManager como gestión central dentro de la red Security Fabric.
Configuración en FortiGate:
Acceda a Security Fabric -> Logging & Analytics -> FortiAnalyzer -> Enable Status. Ingrese la dirección IP de FortiManager como servidor y seleccione ‘OK’. Esto mostrará la página de solicitud de certificado de FortiManager y deberá aceptar la verificación del certificado.
A continuación, se muestra una imagen de cómo debe verse esta configuración:
Después de aceptar la verificación del certificado de FortiManager, se mostrará que está conectado.
A continuación, compruebe que los registros se están enviando correctamente desde FortiGate a FortiManager accediendo a la vista de logs en FortiManager.
Comandos CLI utilizados
A continuación se detallan los comandos de la interfaz de línea de comandos (CLI) que pueden ser útiles durante la configuración:
config log fortianalyzer setting
set status enable
set server ""
end
El comando anterior habilita el envío de logs a FortiManager y establece la dirección IP correspondiente. Al ejecutar este comando en el CLI, se espera que la salida indique que el estado se ha habilitado correctamente.
Buenas prácticas y recomendaciones
- Revisar regularmente las configuraciones de conectividad y estado de los certificados.
- Monitorear el uso de recursos en FortiManager para asegurar un rendimiento óptimo.
- Realizar pruebas de log para asegurar que los registros se envían correctamente y son legibles en FortiManager.
Notas adicionales
Es recomendable realizar copias de seguridad de la configuración de FortiGate y FortiManager antes de hacer cambios significativos. Además, consultar la documentación oficial de Fortinet puede proporcionar información adicional y aclaraciones sobre características y configuraciones.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!