FortiGate にはセキュリティ上のイベントがあった際に管理者等にメールにて通知する機能が ①Eメールアラート機能 と ②オートメーション機能 の2種類あります。
①Eメールアラート機能とは
管理用のメールアドレスを入力して、送信する内容のオプションをポチポチ設定するだけのお手軽機能です。
②オートメーション機能とは
必要なイベントトリガーとアクションを自分で用意して、事細かく設定していく必要があります。お手軽感は全くありませんが通知のメッセージ内容をカスタマイズできます。
この記事では、この オートメーション機能 について記載します。頑張って設定していきましょ~
オートメーション機能を使った設定方法
今回は例題として、FortiGate に管理者ログインした場合に、管理者のメールアドレスにログインしたことを通知する設定を行ってみます。
全体としては、イベントトリガーの作成 ⇒ アクションの設定 ⇒ イベントの設定 ⇒ メール受信確認 といった流れとなります。
(1) オートメーション設定画面
セキュリティファブリック の中に オートメーション があります。トリガー タブから 新規作成 を選択します。
オートメーション設定画面(2) トリガー種類を選択
管理者ログインをトリガーとするには FortiOS イベントログ を選択します。
トリガー種類を選択(3) トリガーを設定
管理者ログインに成功した時のイベントは Admin login successful となります。
トリガーを設定トリガーの設定はこれで完了です。
(4) アクションを新規作成
続いてアクションの設定を作成します。
アクションを新規作成(5) Eメールアクションを選択
今回はEメールでの通知なので、そのものずばりな Eメール を選択します。
Eメールアクションを選択(6) Eメールアクションの設定
本文に以下の内容を入力します。通知内容をわかりやすいようにカスタマイズできます。
管理者ログインが行われました。
ユーザー: %%log.user%%
日 時: %%log.date%% %%log.time%% %%log.tz%%
送信元IP: %%log.srcip%%
---
%%log%%
Eメールアクションの設定これで、アクションの設定は完了です。
(7) ステッチの新規作成
続いてステッチの設定を行います。ステッチとは今まで作成した トリガー と アクション を組み合わせて一つのイベントとして設定する項目のようです。
ステッチの新規作成(8) ステッチの設定
ステッチの名前を設定します。
ステッチの設定(9) ステッチに適用するトリガーを選択
先ほど作成したトリガーを指定します。
ステッチに適用するトリガーを選択(10) ステッチに適用するアクションを選択
先ほど作成したアクションを選択します。
ステッチに適用するアクションを選択(11) ステッチの保存
OK ボタンを押してステッチを保存します。
ステッチの保存(12) イベントメールを受信
イベントが実際に動作することを確認するため、FortiGate に再度ログインしてメールが受信できることを確かめます。
イベントメールを受信大丈夫そうですね。こういった機材からメール送信するためには自身が管理する SMTP のメール設定などが必要になることが多いですが、FortiGate では notification.fortinet.net ドメインが肩代わりしてくれるようで、この辺はありがたいですね。
以上おつかれさまでした。おわり (〃´∪`〃)ゞ