Ali Can Gönüllü tarafından 2022-10-26 10:15:30 tarihinde yazıldı. Tahmini okunma süresi 1 dakika, 32 saniye.
Çalışmalarım için bağış yapmak isterseniz Patreon hesabımdan bağışta bulunabilirsiniz.
Blog adresinde yazılanlar sadece eğitim amacıyla deneysel olarak hazırlanmıştır. Konu içerisinde geçen yöntemleri kendi oluşturduğunuz test ortamında denemenizi tavsiye ederiz.
Herhangi bir tarih, yer ve/veya mekanda oluşacak zararlardan alicangonullu.org, alicangonullu.org yöneticisi ve/veya konu yazarı mesul değildir.
Merhabalar,
Bu yazımda sizlere Fortigate Syslog ile nasıl Wazuh SIEM üzerinden gerekli alarmları alabileceğinizi anlatacağım. Hepinize keyifli okumalar dilerim.
Öncelikle Wazuh SIEM programını, VMWare ESXi üzerinde herhangi bir CentOS 8 Server üzerine kuruyoruz. Nasıl kurulacağını bilmiyorsanız eğer bu konudan öğrenebilirsiniz.
Tüm konfigürasyonlarımızı tamamladıktan sonra Fortigate arayüzünde (eğer hali hazırda syslog kullanmıyorsanız)
Log Report -> Log Settings -> Send Logs to Syslog -> Wazuh IP adresi şeklinde syslogları SIEM üzerine göndermeye başlıyoruz
Eğer ki başka bir syslog servisiniz varsa CLI üzerinden,
config log syslogd2 setting
set status enable
set server WAZUH_IP
end
Tüm bu aşamalardan sonra ayarlarımızı kontrol ediyoruz (trafikleri mutlaka almamız gerekiyor)
config log syslogd2 filter
get
endkomutlarını göndererek ikinci bir syslog servisi açabilirsiniz (Fortigate aynı anda üç adet syslog server açabilir).
Fortigate ayarlarımızı tamamladıktan sonra Wazuh arayüzümüze bağlanıyoruz.
Wazuh -> Management -> Configuration adımlarını takip ederek konfigürasyon dosyamıza erişim sağlıyoruz. Burada </remote> komutunun hemen altına
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>10.0.0.0/8</allowed-ips>
</remote>Şeklinde kuralımızı giriyoruz ve bunun ardından "Save" tuşuna tıklayarak ayarımızı kaydediyoruz. Ardından "Restart Manager" tuşuna tıklayarak Wazuh'u yeniden başlatıyoruz ve loglarımız düşmeye başlıyor.
Okuduğunuz için teşekkür ederim!