امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

چگونه Log های Fortigate را به Splunk بفرستیم؟ امروزه بررسی و مدیریت رخداد های مختلف که در شبکه رخ می‌دهد بسیار مهم می‌باشد در این محتوا قصد داریم به چگونگی ارسال رخداد ها و Log های فایروال سخت افزاری FortiGate به یکی از قدرتمند ترین SIEM های موجود در جهان ارسال کنیم بپردازیم. به صورت عادی امکان ارسال Log های FortiGate به سمت Splunk شدنی نیست زیرا این فایروال Log های خود را فقد به سمت Syslog, FortiCloud و FortiAnalyzer ارسال می‌کند اما نگران نباشید ما با استفاده از Syslog می‌توانیم Log های خود را به سمت Splunk هدایت کنیم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بررسی FortiGate

فایروال سخت افزاری شرکت FortiNet می‌باشد که در راستای امن سازی شبکه و جلوگیری از حملات و داشتن مدیریت بر روی شبکه خود توسعه پیدا کرده است
  • پیاده سازی Filtering های مختلف مثله Web Filtering و E-Mail Filtering
  • جلوگیری از حملات DoS در لایه 3 و 4 شبکه
  • پیاده سازی محدودیت های دسترسی به منابع بیرون شبکه
  • پیاده سازی Routing
  • پیاده سازی Remote Access Service
  • پیاده سازی Anti Virus
  • پیاده سازی Traffic Inspection به چندین حالت مختلف
  • جلوگیری از حملات مختلف تحت شبکه و تحت وب

بررسی Splunk

بطور کلی Splunk توانایی جمع آوری log ها و رخداد های نرم افزار ها، محیط های Cloud و رایانش ابری، دیوایس ها و تجهیزات شبکه و کامپیوتر های شخصی را دارد از این رو Splunk با پس از جمع آوری رخداد ها توانایی لیست کردن آن ‌ها، تحلیل و نظارت بر روی آن هارا به ما میدهد.نرم افزار Splunk دارای امکانات و ویژگیهای متعددی می باشد که با برخی از آنها آشنا می شویم:
  • جمع آوری داده ها از هر منبعی در زمان حقیقی
  • امکان جستجوی قدرتمند و استخراج اطلاعات
  • تحلیل جامع و بررسی ارتباط بین رویدادها
  • امکان دریافت گزارشات مختلف بر اساس چارت های متنوع
  • امکان تنظیمات لازم به جهت نمایش هشدار در هنگام وقوع رخداد
  • محیط کاربر پسند Splunk
  • در دسترس بودن Splunk به دو صورت نرم افزاری و در فضای Cloud
  • و خیلی از ویژگی های دیگه موجود در Splunk

بررسی SySLog

 SySLog مخفف System-Log می باشد یک استاندارد به منظور ارسال رخداد ها، پیغام‌ها، رویدادها و خطاهای مختلف درون یک شبکه یا یک Host به سمت یک سرور که به اختصار به آن SySLog Server میگویند می باشد. این استاندارد کمک های شایان و بسزایی را به ما در حل مشکلات، شناسایی حملات و رخداد های خوب و بد درون سیستم و شبکه را خواهد کرد. امروزه SySLog در اکثر شبکه ها و حتی سیستم های شخصی مورد استفاده قرار می‌گیرد حتی ممکن است یک فرد از اینکه درون سیستم خود یک Sys-Log Server فعال دارد آگاهی نداشته باشد چون که معمولا در اکثر سیستم ها به صورت By-Default نصب می باشد زیرا از مهم ترین اجزای یک شبکه و یا سیستم به حساب می آید.
 

ارسال Log فایروال FortiGate به سمت Splunk

 کانفیگ Splunk 

وارد Web Console محیط Splunk می‌شویم و بروی قسمت مشخص شده در عکس در بالای صفحه کلیک می‌کنیم

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

پس از آن بر روی قسمت Browse more apps کلیک کنید و با دادن UserName و Password اکانت خود در وب سایت splunk افزونه Fortinet FortiGate Add-On for splunk را دانلود و نصب کنید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

پس از آن از قسمت settings وارد بخش Data inputs شوید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

از قسمت Local Input وارد قسمت UDP شوید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

در قسمت ظاهر شده Port را بر روی 514 قرار دهید و برو روی گزینه Next کلیک کنید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

پس از آن در قسمت بعد Source-Type را fgt_log قرار دهید و Preview را بزنید و پس از ان بر روی گزینه Submit کلیک کنید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

 

کانفینگ FortiGate

پس از وارد شدن به محیط Web Console فایروال FortiGate از قسمت Log & Report وارد Log Setting شوید 

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)
پس از باز شدن Tab جدید بر روی گرینه Send Logs To Syslog کلیک کنید و در قسمت IP Address/FQDN آدرس IP سرور Splunk خود را قرار دهید

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

تنظیمات بالا به صورت Cli در FortiGate:

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

 

امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات