En el ámbito de la gestión de redes, la supervisión de cambios en la configuración es fundamental para mantener la seguridad y la integridad de los sistemas. Este artículo aborda cómo utilizar la funcionalidad de Automation Stitch en dispositivos FortiGate para enviar correos electrónicos de alerta cada vez que un administrador realiza cambios, incluyendo detalles sobre las modificaciones efectuadas. Esto es especialmente útil durante auditorías, ya que permite rastrear cambios y revertir configuraciones si es necesario.
Índice
Descripción del problema
En dispositivos FortiGate, es esencial poder monitorear las modificaciones en la configuración realizada por administradores. Por defecto, los cambios son registrados, pero no se proporciona información detallada sobre los atributos específicos que han sido alterados. Este artículo proporciona una guía para implementar un sistema que permita recibir alertas por correo electrónico con detalles sobre qué se ha modificado cuando el administrador aplica cualquier cambio.
Alcance
Este artículo se centra en la funcionalidad de Automation Stitch en los dispositivos FortiGate.
Diagnóstico paso a paso
Para implementar el sistema de notificación mediante Automation Stitch, sigue estos pasos:
Configura un disparador (trigger) para que se active con los eventos de configuración. Busca los ID de eventos ‘44546’ y ‘44547’, que corresponden a cambios en atributos configurados y atributos de objetos respectivamente.
Comando CLI:
config system automation-trigger edit "Config_Changes" set event-type event-log set logid 44546 44547 next endConfigura una acción de automatización para enviar un correo electrónico cuando el evento anterior se dispare.
Comando CLI:
config system automation-action edit "Config_Changed_Email" set description '' set action-type email set forticare-email disable set email-to "[email protected]" set email-from '' set email-subject "%%log.logdesc%%" set minimum-interval 0 set message "%%log%%" set replacement-message disable next endConfigura un Automation Stitch utilizando el disparador y la acción de automatización que has configurado previamente.
Comando CLI:
config system automation-stitch edit "Config_Changed_with_details" set trigger "Config_Changes" config actions edit 1 set action "Config_Changed_Email" set required enable next end next end
Solución recomendada
Una vez configurados el disparador y la acción, el sistema enviará correos electrónicos a la dirección especificada cada vez que se realicen cambios en la configuración. El siguiente log debe aparecer en los registros de ‘Eventos del Sistema’ una vez que el disparador se active:
Los logs correspondientes son:
date=2024-10-12 time=14:39:34 eventtime=1728769174898798965 tz="-0700" logid="0100044546" type="event" subtype="system" level="information" vd="root" logdesc="Attribute configured" user="admin" ui="GUI(172.30.184.52)" action="Edit" cfgtid=128123256 cfgpath="system.settings" cfgattr="gui-load-balance[disable->enable]" msg="Edit system.settings "Comandos CLI utilizados
Se utilizaron los siguientes comandos para llevar a cabo la configuración:
config system automation-trigger– Configura los disparadores de eventos.config system automation-action– Establece las acciones a tomar.config system automation-stitch– Conecta los disparadores y acciones para crear la automatización.
Buenas prácticas y recomendaciones
Al implementar cambios en la configuración de FortiGate:
- Realiza pruebas en un entorno controlado antes de aplicar cambios en producción.
- Documenta los cambios realizados y los motivos detrás de cada ajuste.
- Mantén un registro de los correos electrónicos enviados para realizar auditorías efectivas.
Notas adicionales
Recuerda verificar las configuraciones de tu servidor de correos y asegurarte de que los correos electrónicos no sean bloqueados por filtros de spam. Revisa también los registros del sistema con regularidad para asegurar que los eventos se están registrando correctamente.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!