各位專家們好
小弟最近在過iso27001
被查到說防火牆fortigate沒有定期備份log
沒有硬碟版本,最多只會記錄7天份
這樣記錄的代數不足,不符合規範
目前想針對這塊把他補強起來
查詢過一些方法
是還有找到另一個方案是說可以備份到wiki syslog ng,但這是試用版,過期後也要付費
想請教一下有沒有什麼方法是可以0成本或低成本方案
可以將fortigate 60e的所有事件、防火牆設定檔作備份到本地主機(FTP)或免費雲上
如有要安裝軟體,希望是免費版本的
還請各位專家們指點一下
或有其他業界上可行的方案分享
謝謝大家
===============================================
以下是用chatgpt產生的備份防火牆conf的指令,其中有部分無法執行
不知道該如何修正?還請大大們指點一下,謝謝
不確定是否與韌體有關,先附上我的版本:v6.0.4 build0231 (GA)
建立備份腳本
config system auto-script
edit "backup_logs"
set interval 1
set repeat 0
set script "execute backup config ftp 192.168.1.119 fortigate *Abcd1234 backup_\`date +%Y%m%d_%H%M\`.conf"
next
end
設定自動排程
config system automation-trigger
edit "backup_twice_a_day"
set event "schedule"
set schedule "06:00,20:00"
set action "execute auto-script backup_logs"
next
end
在這裡的set event "schedule"
會發生錯誤,無法執行這段指令
驗證設定show system automation-trigger
測試execute auto-script backup_logs
已邀請的邦友 {{ invite_list.length }}/5
在下也是推薦門神大大的文章
但是前面已經有人提過,不再贅述
為了通過ISO27001
樓主接下來要遇到的事還不少
版本v6.0.4這麼舊還能用嗎?
有買保固維護嗎?
如果沒有,機器壞了的備援方案呢?
如果有,系統的漏洞修補了沒有
接下來還有大約一萬題等著答
紀錄Log儲存是一回事
可讀性又是另一回事
不能判讀的資訊叫垃圾
相信大家都知道
如果什麼都不會又還希望知識技術都免錢
會不會想的太美好了
何不自己花錢去上上課呢
至於ChatGPT,可以很負責任地說關於操作Fortigate
免費版的是問不出正確結果
付費版的答案也不會讓樓主滿意
可以建FortiAnalyzer VM去接Fortigate的log
https://docs.fortinet.com/document/fortianalyzer/7.6.0/vm-trial-license-guide/131614/licensing
免費授權許可證限制:
只能連美國主機
最多三個設備/VDOMs
最多2個ADOMs
最多1GB/每天的Log收集量
試用授權的FortiGuard IOC和FortiAnalyzer Security Automation會在一年後到期
我的FAZ建未滿一年,不知道過期後是否還會繼續收Log
A trial license does not include access to Fortinet services or Technical Support for a FortiAnalyzer VM with a free trial license.
試用授權不包括使用免費試用授權存取 Fortinet 服務或FortiAnalyzer VM 的技術支援。
太可惜了,公司…沒有買授權…就只有硬體
這個方法應該也就不能用了QQ
稽核員也有說要買授權或是單買更新檔T_T
你目的只是儲LOG, VM免費授權應該夠用了
你隨便找個SI朋友報價"零"元的FAZ免費授權
不就"買"授權了嗎?
你的FortiGate有買授權就有權去Fortinet support下載FortiAnalyzer的檔案來裝,然後啟用試用授權
我印象中可以自行建立LogServer來進行防火牆LOG紀錄存放
可以詢問貴司配合的廠商確認項內容
所以這點在公司內部會議上就較難被通過了…
給個建議啦,難通過也是要在會議上提。提完決議要自建再自建。
稽核事項總要有個回答,會議上不通過稽核不過問題不是在你身上,但自建建不出來或很不穩定無法改進,責任一定在你身上。
自由軟體方案是有,但哪天fortigate進版不能用了,社群又還沒改,這責任還不是在你身上?
會議上有開決議你還可以分攤點責任,下次如果又出問題,可以再提商業方案,自己就自建下去了那責任一定完全是你的。
Logserver架設就看你有沒有能力可以以現有或閒置設備來進行架設,如樓上所言自由軟體方案很多,基本上也可趁這次機會提出解決方案及建議改善內容
同意,log server其實有不少開源/免費的選項可以自建;如果log不多,也可以使用一些商業軟體的免費版本
linux的 rsyslog 支援把log送進去關聯式資料庫內,
也有提供建立database的schema的範例檔案。
把一堆Server跟設備的syslog,丟到rsyslog服務再轉送到關聯式資料庫就好了。
還可以寫SQL設計報表,可以利用一些技巧封存比較老舊的資料減少負擔。
Linux 免費
Linux安裝rsyslog 免費
關聯式資料庫(MySQL、PostgreSQL) 免費
效能還可以的汰換電腦 免費
會寫程式也懂資料庫跟SQL語法 連方便管理跟查詢都可以免費
fortinet的log很好分析寫成SQL調出vpn驗證出入紀錄,DHCP發配紀錄等等以報表呈現。
懂寫php還可以做到網頁查詢系統。
懂得設計封存方式,放二十年都沒問題,機器不夠強,熱資料就保留少天一點會比較好查詢,其他時間太久的就輸出封存起來,真的要調閱冷資料再匯入到其他資料庫就好了。
只是自己的技能樹要點很多很廣就是了...
如何設定自動排程來進行每日的組態備份到 SFTP 或者 USB 裝置。
https://medium.com/@jieshiun/%E5%A6%82%E4%BD%95%E8%87%AA%E5%8B%95%E5%82%99%E4%BB%BD-fortigate-%E9%98%B2%E7%81%AB%E7%89%86%E8%A8%AD%E5%AE%9A-2d28a70721ca
若想要備份日誌的話,可以使用下面的指令替換,請參考下面的文章。
execute log backup /usb/log.tar
日誌儲存的合規只是第一步,因為你連第一點就不符合了。
接下來肯定會問這些日誌您們有定期分析與主管簽核嗎?
最重要的是當分析發現異常時,你們的作為與處理的流程是什麼。
FortiAnalyzer VM 對您可能會是比較好的選擇
若公司的網管人員沒有足夠的技術能力,建議把風險委外給有負責安全營運中心 SOC 的 SI 廠商。
對您來說整體的成本可能會是最低的...
貴公司是否有使用 NAS,比如 Synology 或 QNAP?
這二家的NAS 上,都可以啟用 syslog Server 服務。
如果只是要Log 事後稽核,用 NAS 很方便,就不用自建了。
PS:只是Log 要找特定字串可能要先匯出 CSV 了,UI上功能有限。
iThome鐵人賽
看影片追技術