Descripción:
Este artículo explica cómo configurar un punto de automatización en FortiOS que generará una lista de resumen de los cambios realizados por un usuario administrativo en FortiGate y enviará un correo electrónico a la dirección designada que contiene esta lista de cambios (en el formato de una entrada de registro , por defecto).
Tenga en cuenta lo siguiente con respecto a esta solución:
1) Esta guía está escrita utilizando FortiOS 7.0 como referencia.
2) Esta punto de automatización utiliza los siguientes dos registros de eventos como activadores:
– 44546 – LOGID_EVENT_CONFIG_ATTR (‘Atributo configurado’).
– Se utiliza para realizar un seguimiento de los cambios específicos del sistema en FortiGate, como el DNS del sistema.
– 44547 – LOGID_EVENT_CONFIG_OBJATTR (‘Atributo de objeto configurado’)
– Se utiliza para realizar un seguimiento de los cambios de configuración generales basados en objetos, como la interfaz de red o la configuración de la política de firewall.
3) Se genera una entrada de registro cada vez que un administrador modifica y confirma cambios en una sección determinada de la configuración (por ejemplo, una interfaz de red, una política de firewall, una ruta estática, etc.).
4) Una nota al margen con respecto a 32102 – LOG_ID_CHG_CONFIG (‘Configuración modificada’):
– Este ID de registro solo indica que un administrador ha realizado cambios de configuración en FortiGate en general, y se activa después de que el administrador cierra sesión en FortiGate. No produce una lista de cambios específicos realizados por el administrador.
Alcance
FortiGate; FortiOS 6.2, 6.4, 7.0.
Solución
Configuración a través de la interfaz de usuario web:
1) Vaya a Security Fabric => Automatización , luego, en la subsección Activador, seleccione ‘Crear nuevo’ .
2) Seleccione Registro de eventos de FortiOS como el nuevo tipo de activador, luego seleccione los eventos ‘Atributo configurado’ y ‘Atributo de objeto configurado’ antes de elegir ‘Aceptar’.
– FortiOS 7.0 permite a los administradores especificar múltiples eventos en un solo disparador.
Las versiones anteriores de FortiOS permiten solo un registro de eventos por disparador y, por lo tanto, requieren la creación de dos puntadas de automatización separadas.
– Los filtros de campo se pueden aplicar aquí para especificar más cómo se activa la punto de automatización, aunque estos están fuera del alcance de esta guía.
– Asegúrese de establecer un nombre adecuado, como «Configuración modificada por el administrador».
1) A continuación, seleccione la subsección Acción y seleccione ‘Crear nuevo’.
2) Seleccione Correo electrónico como el nuevo tipo de acción. Desde allí, especifique un Nombre apropiado para la Acción, configure las direcciones de correo electrónico Para y configure una línea de Asunto adecuada antes de seleccionar ‘Aceptar’ para confirmar.
– Tenga en cuenta que el cuerpo se rellena previamente con ‘%%log%%’. Esto genera la totalidad de la entrada de registro en la actualización por correo electrónico.
– Es posible una mayor personalización del cuerpo, aunque esto está fuera del alcance de esta guía.
1) Finalmente, vaya a la subsección Puntada y seleccione ‘Crear nuevo’.
2) Aplique el nuevo disparador y acción que se creó en los pasos anteriores, asigne un nombre apropiado a la punto de automatización y luego seleccione ‘Aceptar’ para confirmar la configuración.
– Tenga en cuenta que la configuración de ejecución de la acción no importa para una sola acción (esta configuración solo tiene efecto cuando se usan varias acciones).
Configuración a través de la CLI:
– El siguiente es un ejemplo de configuración CLI equivalente:
# config system automation-trigger
edit «Administrator Changed Settings»
set event-type event-log
set logid 44546 44547
next
end
# config system automation-action
edit «Send Email to Administrator»
set action-type email
set email-to «[email protected]»
set email-subject «Administrator made changes to the configuration»
next
end
# config system automation-stitch
edit «Email Configuration Change Summary»
set trigger «Administrator Changed Settings»
# config action
edit 1
set action «Send Email to Administrator»
set required enable
next
end
next
end
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!