FortiGate 연동
이 가이드는 Fortinet FortiGate 방화벽에서 syslog를 통해 KYRA MDR Collector로 보안 로그를 전달하는 방법을 설명합니다.
지원 버전: FortiOS 6.4, 7.0, 7.2, 7.4+
사전 준비
- KYRA MDR Collector 설치 및 실행 중 (설치 가이드)
- FortiGate 관리자 접근 (CLI 또는 GUI)
- FortiGate에서 Collector까지 포트 514의 네트워크 연결
1단계: FortiGate에서 Syslog 활성화 (GUI)
- FortiGate 웹 콘솔에 로그인
- Log & Report > Log Settings로 이동
- Remote Logging and Archiving에서 Send Logs to Syslog을 활성화
- 다음과 같이 설정:
| 설정 | 값 |
|---|---|
| IP Address/FQDN | KYRA Collector IP (예: 10.0.1.50) |
| Port | 514 |
| Server Type | Syslog |
| Minimum Log Level | Information |
| Facility | local7 (권장) |
- Apply 클릭
2단계: FortiGate에서 Syslog 활성화 (CLI)
FortiGate CLI에 접속하여 실행:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set facility local7 set source-ip "" set format default set mode udpend안정적인 전송을 위한 TCP 사용:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set mode reliableend참고:
reliable모드는 TCP를 사용하여 네트워크 혼잡 시 로그 손실을 방지합니다. 프로덕션 환경에서 권장됩니다.
3단계: 로그 카테고리 설정
보안 모니터링에 중요한 로그 유형을 활성화합니다:
config log syslogd filter set severity information set forward-traffic enable set local-traffic enable set multicast-traffic enable set anomaly enable set voip disable set filter "" set filter-type includeend권장 로그 유형
| 로그 유형 | CLI 설정 | 중요한 이유 |
|---|---|---|
| 트래픽 | forward-traffic enable | 네트워크 플로우 가시성, 내부 이동 탐지 |
| UTM/보안 | 기본 활성화 | IPS, AV, 웹 필터, 애플리케이션 제어 이벤트 |
| 이벤트 | 기본 활성화 | 관리자 로그인, 설정 변경, HA 페일오버 |
| 이상 징후 | anomaly enable | DoS 탐지, 프로토콜 이상 |
| DNS | dns enable (FortiOS 7.0+) | DNS 터널링, C2 탐지 |
DNS 로깅 활성화 (FortiOS 7.0+)
config log syslogd filter set dns enableend4단계: 두 번째 Syslog 서버 설정 (선택사항)
FortiGate는 최대 4개의 syslog 서버를 지원합니다. KYRA를 보조 대상으로 추가하려면:
config log syslogd2 setting set status enable set server "10.0.1.50" set port 514 set mode reliableend5단계: 로그 수신 확인
FortiGate에서
syslog가 활성화되었는지 확인:
diagnose log test테스트 로그 항목을 전송합니다. 그 후 연결 상태를 확인합니다:
get log syslogd settingserver와 status가 올바른지 확인합니다.
KYRA Collector에서
이벤트가 도착하는지 확인:
# 수신 syslog 트래픽 확인sudo tcpdump -i any port 514 -c 10
# Collector 로그 확인sudo journalctl -u kyra-collector --since "5 minutes ago" | grep -i fortiKYRA 콘솔에서
- 로그 검색으로 이동
source_type:fortigate로 검색하거나 FortiGate의 IP 주소로 필터링- 방화벽 트래픽, UTM 이벤트 및 시스템 이벤트가 표시되어야 함
- 대시보드에서 이벤트 수집 지표가 증가하는지 확인
FortiGate 로그 형식 참조
KYRA MDR은 FortiGate 로그 형식을 자동으로 파싱합니다. 추출되는 주요 필드:
| FortiGate 필드 | KYRA MDR 필드 | 설명 |
|---|---|---|
srcip | source.ip | 출발지 IP 주소 |
dstip | destination.ip | 목적지 IP 주소 |
action | event.action | allow, deny, drop 등 |
attack | threat.name | IPS 시그니처 이름 |
severity | event.severity | critical, high, medium, low |
logid | event.id | FortiGate 로그 식별자 |
devname | observer.name | FortiGate 호스트명 |
policyid | rule.id | 방화벽 정책 ID |
탐지 규칙
KYRA MDR에는 FortiGate 이벤트용 내장 탐지 규칙이 포함되어 있습니다:
| 탐지 | MITRE ATT&CK | 설명 |
|---|---|---|
| 관리자 무차별 대입 로그인 | T1110 | 다수의 관리자 로그인 실패 시도 |
| 설정 변경 | T1562.001 | 방화벽 정책 또는 설정 수정 |
| IPS Critical 알림 | 다양 | 높은 심각도의 IPS 시그니처 매치 |
| VPN 이상 | T1133 | 비정상적인 VPN 로그인 패턴 (지역, 시간) |
| DNS 터널링 | T1071.004 | 의심스러운 DNS 쿼리 패턴 |
| 정책 거부 급증 | T1046 | 거부된 트래픽의 급격한 증가 (포트 스캔) |
문제 해결
로그가 수신되지 않는 경우
- 방화벽 규칙: FortiGate와 Collector 사이에서 포트 514를 차단하는 ACL이 없는지 확인
- Syslog 상태:
get log syslogd setting실행 —status가enable인지 확인 - 올바른 IP: syslog 서버 IP가 Collector의 IP와 일치하는지 확인
- 로그 레벨:
warning이상으로 설정된 경우 정보성 이벤트가 삭제됩니다.information으로 설정
일부 로그만 수신되는 경우
- 트래픽 로그 누락: syslog 필터에서
forward-traffic이enable인지 확인 - DNS 로그 누락: DNS 로깅은 FortiOS 7.0 이상이 필요하며 명시적으로 활성화해야 함
- UTM 로그 누락: 보안 프로필(IPS, AV, Web Filter)이 방화벽 정책에 적용되었는지 확인
높은 로그 볼륨
FortiGate는 상당한 로그 볼륨을 생성할 수 있습니다. 노이즈를 줄이려면:
config log syslogd filter set severity warning set forward-traffic disable set anomaly enableend주의: 트래픽 로그를 비활성화하면 탐지 커버리지가 줄어듭니다. 볼륨이 우려되는 경우에만 수행하세요. 더 높은 EPS 제한을 위해 KYRA MDR 플랜 업그레이드를 고려하세요.