Proseguiamo con un altro documento dove cercheremo di centralizzare tutti i nostri LOG in Elasticsearch, questa volta è il nostro turno dei firewall Fortigate. L'idea non sarà solo quella di raccogliere i LOG, ma anche di comprenderli visivamente e di avere strumenti che ci aiutino nella nostra vita quotidiana.

Cosa ho detto, L'obiettivo è il seguente, per prima cosa raccogliamo i LOG che abbiamo nei firewall di Fortigate, per averli in un unico posto, che sarà la nostra amata Elasticsearch. Una volta che abbiamo i LOG lì, possiamo usare Kibana per spettegolare su ciò che sta accadendo, Chi visita quale sito web, Quali sono le applicazioni più utilizzate o quale traffico generano… e oltre a sfogliarlo, perché l'idea sarà anche quella di visualizzarlo in Grafana, che sappiamo di avere molti tipi di Pannelli per capire o far capire cosa stiamo registrando in quei LOG.

Possiamo realizzare pannelli tipo formaggio, Stallo, Grafici a barre, ovviamente tipo Sankey, oppure posizionare una Mappa del Mondo e geolocalizzare gli indirizzi IP di Destinazione o Origine, e sapere chi e quando accede alle nostre risorse, così come i nostri utenti per ciò per cui utilizzano Internet.

La cosa più comoda sarà farlo da Kibana, Lì indicherà anche alcuni passaggi necessari che vedremo di seguito, da Kibana si va al suo “Casa” > “Aggiungere dati” > “Registri Fortinet”, La cosa buona è che questa procedura guidata verificherà se abbiamo seguito correttamente i passaggi e sta raccogliendo dati, e creerà l'indice se tutto è a posto.

Installazione di Filebeat,

Dobbiamo installare Filebeat su una macchina Windows o Linux affinché questo servizio sia in ascolto su una porta (a cui Fortigate invierà i LOG), e poi Filebeat memorizza i LOG nell'indice Elasticsearch che ci interessa. Quindi, se non sai dove installarlo, La macchina di ELK può essere totalmente valida, i passaggi che seguiremo sono se raccogliamo da un Linux, Così, abbiamo installato Filebeat:

ricciolo -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-amd64.deb sudo dpkg -i filebeat-7.12.0-amd64.deb

...
uscita.elasticsearch:
  Ospita: ["Protocollo HTTP://DIRECCION_IP:9200"]
...
setup.kibana:
  ospite: "Protocollo HTTP://DIRECION_IP:5601"
...

I moduli Sudo Filebeat abilitano Fortinet

Modifichiamo anche il file di configurazione del modulo Fortigate “/ecc/filebeat/modules.d/fortinet.yml”, Abilitiamo la raccolta di 'firewall'’ e se abbiamo Forticlients, anche FortiMail o FortiManager, altrimenti, quest'ultimo lo lasciamo disabilitato. Da considerare anche la selezione di quali sono le interfacce interne ed esterne; & Naturalmente la porta di ascolto che avremo (In questo esempio, il metodo 9005):

- modulo: Fortinet Firewall:
    Abilitato: Vero Var.Input: UDP var.syslog_host: 0.0.0.0
    var.syslog_port: 9005
    var.internal_interfaces: [ "LAN1" ]
    var.external_interfaces: [ "WAN" ]
    var.tags: [Fortinet-firewall, Rafforzati]
  clientendpoint:
    Abilitato: falso fortimail:
    Abilitato: Falso FortiManager:
    Abilitato: Falso

filebeat test config -c /etc/filebeat/filebeat.yml -e

Sudo Filebeat setup --pipelines --modules Fortinet sudo systemctl start filebeat sudo systemctl enable filebeat sudo systemctl status filebeat

registro di configurazione syslogd impostazione set stato abilita set server "DIRECCION_IP_FILEBEAT"
    Imposta porta 9005
Fine

Giocare con i LOG,

Cosa ho detto, Se la raccolta dei dati è corretta e l'indice è stato creato correttamente, non abbiamo altro da fare (L'indice può essere creato manualmente da noi se non seguiamo la procedura guidata iniziale di cui abbiamo parlato). Da Kibana potremo scoprire cosa raccoglie, Aggiungere o rimuovere campi, ricerca in formato Lucene o in formato KQL (Linguaggio di interrogazione Kibana).

E saremo già in grado di goderci, ad esempio, di Grafana per interpretare i dati raccolti!! Effettueremo una connessione utilizzando una fonte dati in Grafana di tipo Elasticsearch e indicheremo i dati di connessione e quindi con le stesse query Lucene che abbiamo fatto in Kibana, perché possiamo fare delle bellissime Dashboard.

Vi lascio un esempio di come fare una Ciambella o un Formaggio con il Top Consumo di App scoperte da Forti.

E poi è il momento di dare libero sfogo alla tua immaginazione e aggiungere le visualizzazioni che vogliamo.

Sul blog vedrai diversi esempi di visualizzazione, se in formato Mappa ad albero…

Esempio di tabella, dove possiamo fare il filtraggio nella GUI…

Esempio di diagramma di Sankey…

Mappe del mondo, dove possiamo vedere le connessioni in entrata o in uscita, accettato o negato, in tempo reale o nello storico delle ultime 24h, 7 Giorni, 1 anno…

Cosa ho detto, In altri documenti vedrai come realizzare ogni tipo di pannello che vedi in questo post, Spero vi piaccia e come sempre vi ringrazio per quei like sui social network!