Integración de Firewall FortiGate con Elasticsearch
Con miras a optimizar la gestión de datos y eventos, seguimos con las integraciones usando Elastic Agent. En el artículo anterior, te mostramos cómo recolectar eventos de diversos canales de registro en sistemas Windows, centrándonos en el “Firewall de Windows” y en la identificación de “Eventos de Windows”. Ahora, estamos listos para llevar nuestras integraciones un paso más allá al integrar el firewall FortiGate con Elasticsearch utilizando Elastic Agent.
FortiGate es un firewall de seguridad de renombre que es ampliamente adoptado en entornos empresariales para proteger las redes contra amenazas y ataques cibernéticos.
La integración de FortiGate con Elasticsearch proporcionará una visión más completa de la seguridad de tu infraestructura, permitiéndote analizar y administrar de manera efectiva los eventos relacionados con tu firewall. Esta integración desempeña un papel crucial en la visibilidad y análisis efectivo de los eventos y registros generados por estos equipos en nuestra red de seguridad.
Los equipos FortiGate ofrecen una amplia gama de funciones de seguridad, como filtrado de contenido, detección y prevención de intrusiones, control de aplicaciones, entre otras, lo que hace que integrarlos sea aún más valioso.
Esta nos permite mantener una visión global de nuestra postura de seguridad y tomar medidas proactivas para proteger nuestros activos. Además, la capacidad de almacenar y analizar registros de eventos en Elasticsearch facilita la investigación de incidentes de seguridad, el cumplimiento de regulaciones y la mejora continua de nuestra infraestructura de seguridad.
Para lograr esta integración, seguiremos los siguientes pasos:
- Para habilitar la recolección de datos de FortiGate y su envío a Elasticsearch, es fundamental asegurarse de que el colector que planeas utilizar tenga Elastic Agent instalado. Si aún no lo tienes instalado, este artículo te guiará a través del proceso de instalación.
En esta ocasión utilizaremos un servidor Linux con la dirección IP: 192.168.10.2, que actuará como nuestro colector.
2. Después, nos dirigimos al firewall de FortiGate para llevar a cabo la configuración necesaria. Una vez que hayas iniciado sesión en el equipo, ve a la sección “Log & Report” y, a continuación, selecciona “Log setting”. En esta sección, procederemos a configurar los eventos que deseamos enviar a Elasticsearch.
3. Dentro de la sección “Log setting”, definiremos qué eventos específicos necesitamos enviar a Elasticsearch. En este caso, optaremos por habilitar todos los eventos.
Es importante recordar que habilitar todos los eventos puede generar una gran cantidad de logs, por lo que se debe considerar cuidadosamente si es necesario y si hay suficiente capacidad para gestionar y analizar todos esos logs.
4. Ahora, para configurar syslog, primero habilitamos la opción “Syslog logging”. Aquí, debes ingresar la dirección IP de tu colector.
Normalmente, el puerto predeterminado para syslog es el 514, pero en este caso, vamos a usar un puerto diferente: el 3623.
— Personalizar el puerto es una excelente práctica, especialmente cuando gestionas varias integraciones con Syslog. Al utilizar puertos diferentes, puedes evitar conflictos y simplificar la administración de registros. Esto te permite tener un mayor control y organización sobre tus datos de registro, lo que es esencial para un monitoreo efectivo.
5. Para hacer esto, necesitarás utilizar la línea de comandos, ya que en la interfaz gráfica no se muestra la opción para configurar el puerto. Una vez que ingreses la dirección IP y ajustes el puerto, estás listo para continuar con la configuración.
Después de configurar el puerto y guardar la configuración, hemos completado la configuración en el lado del equipo.
6. Una vez que hayamos realizado esta configuración, el siguiente paso es dirigirnos a Elasticsearch y llevar a cabo la integración con Elastic Agent.
7. Ahora, nos dirigimos a la sección de “Add Integrations” y buscamos la que necesitamos, en este caso, “Fortinet FortiGate Firewall Logs”.
8. Luego, seleccionamos la opción “Add Fortinet Fortigate Firewall Logs”.
9. Después, le asignamos un nombre a la integración y continuamos configurándola. Aquí, ingresamos la dirección IP del colector que en nuestro caso es 192.168.10.2, y el puerto que definimos previamente como 3623 en el firewall FortiGate. Dado que nuestro puerto es UDP, seleccionamos esta opción. Luego, le colocamos un tag llamado “fortinet-infrasecuritycode”.
10. Para finalizar esta configuración, simplemente hacemos clic en la opción “Save and deploy changes”.
11. Ahora, vamos a la política que creamos llamada “Colector-Infrasecuritycode” donde agregamos la integración. Si deseas obtener más información sobre políticas e integraciones, te invito a leer este artículo.
12. Para finalizar ahora nos dirigimos a “ Discover” y visualizamos los logs recolectados.
En este artículo, hemos explorado la importancia de integrar el Firewall FortiGate con Elasticsearch para fortalecer nuestra seguridad y mejorar la gestión de eventos. También hemos comprendido que esta integración nos permite obtener una visión completa de nuestra postura de seguridad, tomar medidas proactivas y simplificar la investigación de incidentes de seguridad.
Te invito a estar atento para los futuros contenidos. ¡No te los pierdas!
