Nous continuons avec un autre document où nous allons essayer de centraliser tous nos LOG dans Elasticsearch, cette fois, c’est à notre tour d’utiliser les pare-feu Fortigate. L’idée ne sera pas seulement de collecter les LOG mais aussi de les comprendre visuellement et d’avoir des outils qui nous aident dans notre vie quotidienne.

Ce que j’ai dit, L’objectif est le suivant, collecter d’abord les LOG que nous avons dans les pare-feu de Fortigate, de les avoir en un seul endroit, qui sera notre bien-aimé Elasticsearch. Une fois que nous avons les journaux d’activité, nous pouvons utiliser Kibana pour bavarder sur ce qui se passe, Qui visite quel site web, Quelles applications sont les plus utilisées ou quel trafic elles génèrent… et en plus de le parcourir, car l’idée sera aussi de le visualiser dans Grafana, que nous savons que nous avons beaucoup de types de panels à comprendre ou à faire comprendre ce que nous enregistrons dans ces journaux.

Nous pouvons fabriquer des panneaux de type Cheese, Pat, Graphiques à barres, bien sûr de type Sankey, ou placez une carte du monde et géolocalisez les adresses IP de Destination ou d’Origine, et savoir qui et quand accède à nos ressources, ainsi que nos utilisateurs pour l’utilisation qu’ils font d’Internet.

La chose la plus confortable sera de le faire depuis Kibana, Il y indiquera également certaines étapes nécessaires que nous verrons ci-dessous, de Kibana nous allons à son “Domicile” > “Ajouter des données” > “Journaux Fortinet”, Ce qui est bien, c’est que cet assistant vérifiera si nous avons bien suivi les étapes et s’il collecte des données, et il créera l’index si tout est OK.

Installation de Filebeat,

Nous devons installer Filebeat sur une machine Windows ou Linux pour que ce service puisse écouter sur un port (à laquelle Fortigate enverra les LOG), puis Filebeat stocke les LOG dans l’index Elasticsearch qui nous intéresse. Donc, si vous ne savez pas où l’installer, La machine d’ELK peut être totalement valable, les étapes que nous suivrons sont si nous collectons à partir d’un Linux, Ainsi, nous avons installé Filebeat:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-amd64.deb sudo dpkg -i filebeat-7.12.0-amd64.deb

...
output.elasticsearch:
  Hôtes: ["HTTP://DIRECCION_IP:9200"]
...
setup.kibana:
  hôte: "HTTP://DIRECION_IP:5601"
...

Les modules Sudo Filebeat permettent Fortinet

Nous éditons également le fichier de configuration du module Fortigate “/etc/filebeat/modules.d/fortinet.yml”, Nous permettons la collecte du « pare-feu »’ et si nous avons Forticlients, FortiMail ou FortiManager aussi, autrement, ce dernier est laissé désactivé. Pensez également à sélectionner les interfaces internes et externes; & Bien sûr le port d’écoute que nous aurons (Dans cet exemple, le 9005):

- module: Pare-feu Fortinet:
    Activé: True Var.Input: UDP var.syslog_host: 0.0.0.0
    var.syslog_port: 9005
    var.internal_interfaces: [ "lan1" ]
    var.external_interfaces: [ "WAN" ]
    var.tags: [Fortinet-firewall, Renforcez-vous]
  clientpoint de terminaison:
    Activé: false fortimail:
    Activé: False FortiManager:
    Activé: Faux

filebeat test config -c /etc/filebeat/filebeat.yml -e

Sudo Filebeat setup --pipelines --modules Fortinet sudo systemctl start filebeat sudo systemctl enable filebeat sudo systemctl status filebeat

config log syslogd paramètre set status activer set server "DIRECCION_IP_FILEBEAT"
    Définir le port 9005
Fin

Jouer avec les LOG,

Ce que j’ai dit, Si la collecte de données est correcte et que l’index a été créé correctement, nous n’avons plus grand-chose à faire (L’index peut être créé manuellement par nos soins si nous ne suivons pas l’assistant initial que nous avons mentionné). De Kibana, nous pourrons découvrir ce qu’il collecte, Ajouter ou supprimer des champs, recherche au format Lucene ou au format KQL (Langage de requête Kibana).

Et nous pourrons déjà profiter, par exemple, de Grafana pour interpréter les données collectées!! Nous allons établir une connexion à l’aide d’une source de données dans Grafana de type Elasticsearch et indiquer les données de connexion puis avec les mêmes requêtes Lucene que nous avons faites dans Kibana, parce que nous pouvons faire de beaux tableaux de bord.

Je vous laisse un exemple de comment faire un Donut ou un fromage avec le Top consommation d’applications découvert par Forti.

Et puis il est temps de laisser libre cours à votre imagination et d’ajouter les visualisations que nous voulons.

Sur le blog, vous verrez différents exemples de visualisation, si au format Tree Map…

Exemple de tableau, où nous pouvons faire du filtrage dans l’interface graphique…

Exemple de diagramme de Sankey…

Cartes du monde, où l’on peut voir les connexions entrantes ou sortantes, accepté ou refusé, en temps réel ou dans l’historique des dernières 24h, 7 Jours, 1 année…

Ce que j’ai dit, Dans d’autres documents, vous verrez comment créer chaque type de panneau que vous voyez dans cet article, J’espère qu’il vous plaira et comme toujours merci pour ces likes sur les réseaux sociaux!