FortiGate連携
このガイドでは、Fortinet FortiGateファイアウォールからKYRA MDR Collectorへsyslog経由でセキュリティログを転送する設定方法を説明します。
対応バージョン: FortiOS 6.4、7.0、7.2、7.4以降
前提条件
- KYRA MDR Collectorがインストール済みで稼働中(インストールガイド)
- FortiGateの管理者アクセス(CLIまたはGUI)
- FortiGateからCollectorへのポート514でのネットワーク接続性
ステップ1:FortiGateでsyslogを有効化(GUI)
- FortiGate Webコンソールにログインします
- Log & Report > Log Settings に移動します
- Remote Logging and Archiving で Send Logs to Syslog を有効化します
- 以下を設定します:
| 設定 | 値 |
|---|---|
| IP Address/FQDN | KYRA CollectorのIP(例:10.0.1.50) |
| Port | 514 |
| Server Type | Syslog |
| Minimum Log Level | Information |
| Facility | local7(推奨) |
- Apply をクリックします
ステップ2:FortiGateでsyslogを有効化(CLI)
FortiGate CLIに接続して以下を実行します:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set facility local7 set source-ip "" set format default set mode udpendTCP使用による信頼性の高い配信の場合:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set mode reliableend注意:
reliableモードはTCPを使用し、ネットワーク輻輳時のログ損失を防ぎます。本番環境デプロイメントに推奨されます。
ステップ3:ログカテゴリの設定
セキュリティ監視に重要なログタイプを有効化します:
config log syslogd filter set severity information set forward-traffic enable set local-traffic enable set multicast-traffic enable set anomaly enable set voip disable set filter "" set filter-type includeend推奨ログタイプ
| ログタイプ | CLI設定 | 重要性 |
|---|---|---|
| Traffic | forward-traffic enable | ネットワークフロー可視性、ラテラルムーブメント検出 |
| UTM/Security | デフォルトで有効 | IPS、AV、Webフィルター、アプリケーション制御イベント |
| Event | デフォルトで有効 | 管理者ログイン、設定変更、HAフェイルオーバー |
| Anomaly | anomaly enable | DoS検出、プロトコル異常 |
| DNS | dns enable(FortiOS 7.0以降) | DNSトンネリング、C2検出 |
DNSログの有効化(FortiOS 7.0以降)
config log syslogd filter set dns enableendステップ4:2番目のsyslogサーバーの設定(オプション)
FortiGateは最大4つのsyslogサーバーをサポートします。KYRAをセカンダリ送信先として追加するには:
config log syslogd2 setting set status enable set server "10.0.1.50" set port 514 set mode reliableendステップ5:ログの流入確認
FortiGate側
syslogがアクティブであることを確認します:
diagnose log testこれによりテストログエントリが送信されます。接続ステータスを確認します:
get log syslogd settingserver と status が正しいことを確認します。
KYRA Collector側
イベントが到着していることを確認します:
# 受信syslogトラフィックの確認sudo tcpdump -i any port 514 -c 10
# Collectorログの確認sudo journalctl -u kyra-collector --since "5 minutes ago" | grep -i fortiKYRAコンソール
- Log Search に移動します
source_type:fortigateで検索するか、FortiGateのIPアドレスでフィルタリングします- ファイアウォールトラフィック、UTMイベント、システムイベントが表示されるはずです
- ダッシュボード でイベント取り込みメトリクスが増加していることを確認します
FortiGateログフォーマットリファレンス
KYRA MDRはFortiGateのログフォーマットを自動的にパースします。抽出される主要フィールド:
| FortiGateフィールド | KYRA MDRフィールド | 説明 |
|---|---|---|
srcip | source.ip | 送信元IPアドレス |
dstip | destination.ip | 宛先IPアドレス |
action | event.action | allow、deny、dropなど |
attack | threat.name | IPSシグネチャ名 |
severity | event.severity | critical、high、medium、low |
logid | event.id | FortiGateログ識別子 |
devname | observer.name | FortiGateホスト名 |
policyid | rule.id | ファイアウォールポリシーID |
検出ルール
KYRA MDRにはFortiGateイベント用の組み込み検出ルールが含まれています:
| 検出 | MITRE ATT&CK | 説明 |
|---|---|---|
| 管理者ブルートフォースログイン | T1110 | 管理者ログインの複数回失敗 |
| 設定変更 | T1562.001 | ファイアウォールポリシーまたは設定の変更 |
| IPSクリティカルアラート | 各種 | 高重大度のIPSシグネチャマッチ |
| VPN異常 | T1133 | 異常なVPNログインパターン(地域、時間) |
| DNSトンネリング | T1071.004 | 不審なDNSクエリパターン |
| ポリシー拒否スパイク | T1046 | 拒否トラフィックの急増(ポートスキャン) |
トラブルシューティング
ログが受信されない
- ファイアウォールルール: FortiGateとCollector間でポート514をブロックするACLがないことを確認
- syslogステータス:
get log syslogd settingを実行 —statusがenableであることを確認 - 正しいIP: syslogサーバーIPがCollectorのIPと一致することを確認
- ログレベル:
warning以上に設定されている場合、情報レベルのイベントはドロップされます。informationに設定してください
部分的なログ
- トラフィックログの欠落: syslogフィルターで
forward-trafficがenableであることを確認 - DNSログの欠落: DNSログにはFortiOS 7.0以降と明示的な有効化が必要
- UTMログの欠落: セキュリティプロファイル(IPS、AV、Webフィルター)がファイアウォールポリシーに適用されていることを確認
高ログボリューム
FortiGateは大量のログを生成する可能性があります。ノイズを削減するには:
config log syslogd filter set severity warning set forward-traffic disable set anomaly enableend警告: トラフィックログを無効にすると検出カバレッジが低下します。ボリュームが問題の場合のみ実行してください。より高いEPS制限のためにKYRA MDRプランのアップグレードをご検討ください。