|

Wazuh SIEM ile Fortigate Syslog Entegrasyonu (FortiOS CLI)


alicangonullu tarafından 2022-10-26 10:15:30 tarihinde yazıldı. Tahmini okunma süresi 1 dakika, 32 saniye. 221 kere görüntülendi.



Disclaimer

The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks, or data.

Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklamlama amacı taşımaz.
Yasal bilgiler için yasal sayfasını inceleyebilirsiniz .

Merhabalar,

Bu yazımda sizlere Fortigate Syslog ile nasıl Wazuh SIEM üzerinden gerekli alarmları alabileceğinizi anlatacağım. Hepinize keyifli okumalar dilerim.

Öncelikle Wazuh SIEM programını, VMWare ESXi üzerinde herhangi bir CentOS 8 Server üzerine kuruyoruz. Nasıl kurulacağını bilmiyorsanız eğer bu konudan öğrenebilirsiniz.

Tüm konfigürasyonlarımızı tamamladıktan sonra Fortigate arayüzünde (eğer hali hazırda syslog kullanmıyorsanız)

Log Report -> Log Settings -> Send Logs to Syslog -> Wazuh IP adresi şeklinde syslogları SIEM üzerine göndermeye başlıyoruz

Eğer ki başka bir syslog servisiniz varsa CLI üzerinden,

config log syslogd2 setting
set status enable
set server WAZUH_IP
end

Tüm bu aşamalardan sonra ayarlarımızı kontrol ediyoruz (trafikleri mutlaka almamız gerekiyor)
config log syslogd2 filter
get
end

komutlarını göndererek ikinci bir syslog servisi açabilirsiniz (Fortigate aynı anda üç adet syslog server açabilir).

Fortigate ayarlarımızı tamamladıktan sonra Wazuh arayüzümüze bağlanıyoruz.

Wazuh -> Management -> Configuration adımlarını takip ederek konfigürasyon dosyamıza erişim sağlıyoruz. Burada </remote> komutunun hemen altına

  <remote>
    <connection>syslog</connection>
    <port>514</port>
    <protocol>udp</protocol>
    <allowed-ips>10.0.0.0/8</allowed-ips>
  </remote>

Şeklinde kuralımızı giriyoruz ve bunun ardından "Save" tuşuna tıklayarak ayarımızı kaydediyoruz. Ardından "Restart Manager" tuşuna tıklayarak Wazuh'u yeniden başlatıyoruz ve loglarımız düşmeye başlıyor.

Okuduğunuz için teşekkür ederim!