Интеграция FortiAnalyzer с FortiGate, FortiWeb, FortiMail и SIEM‑системами

16 июня 2026fortitrade.ru

FortiAnalyzer – не просто еще один сервер для логов. Это аналитическое ядро Security Fabric от Fortinet. Он собирает данные со всех устройств в сети, включая фаерволы, почтовые шлюзы, WAF. И превращает их в структурированные отчеты, дашборды и события для SIEM.

Но просто подключить устройства недостаточно. Нужно правильно настроить интеграцию, чтобы логи не терялись и SIEM-система корректно их парсила. Но, как связать FortiAnalyzer с FortiGate, FortiWeb, FortiMail и внешними SIEM.

Интеграция FortiAnalyzer с FortiGate, FortiWeb, FortiMail и SIEM‑системами

FortiAnalyzer как центральный хаб

FortiAnalyzer агрегирует логи от множества устройств в единое хранилище. Вместо того чтобы настраивать SIEM для каждого фаервола отдельно, достаточно один раз подключить FortiAnalyzer. И он уже пересылает данные куда нужно.

Это дает такие преимущества:

  1. Единую точку сбора. Логи от FortiGate, FortiWeb, FortiMail и даже сторонних устройств через syslog собираются в одном месте.
  2. Нормализацию данных. FortiAnalyzer приводит логи к единому формату. SIEM получает предсказуемую структуру, а не кашу из разных схем.
  3. Фильтрацию и агрегацию событий. Не нужно лить в SIEM терабайты нормального трафика. Можно настроить, какие события пересылать, а какие – нет.
  4. Безопасную доставку. Она обеспечивается поддержкой TLS поверх syslog (RFC 5424) с цепочками сертификатов.

Без FortiAnalyzer каждое устройство придется подключать к SIEM отдельно. На это нужны десятки часов. Кроме того, нужно постоянно беспокоиться о дублировании.

Подключение FortiGate к FortiAnalyzer

FortiGate – основной источник логов в большинстве сетей. Логи трафика, DNS, вторжений, веб-фильтрации нужно отправлять в анализатор. Настройка этого процесса через FortiManager (централизованно) выполняется так:

  1. Нужно зайти вDevice Manager, затем Provisioning Templates.
  2. Создать новый системный шаблон или отредактировать существующий.
  3. В виджете Log Settings включить опциюSend Logs to FortiAnalyzer/FortiManager.
  4. ВыбратьManaged FortiAnalyzerи указать нужный экземпляр из выпадающего списка.
  5. Применить шаблон к целевым FortiGate.

Если FortiManager не используется, то настройка выполняется прямо на FortiGate. Это делается черезLog & Report, Log Settings. Указывается IP-адрес FortiAnalyzer и порты (по умолчанию UDP 514 или TCP 443 для шифрованного канала).

Но есть важный нюанс.По умолчанию идентификация устройств из логов FortiGate в FortiAnalyzer включена для всех устройств и подсетей. Если нужно исключить какие-то подсети из анализа UEBA, то создаются правила исключения в Fabric View – Identity Center – Data Sources.

Интеграция FortiWeb с FortiAnalyzer

FortiWeb защищает веб-приложения. Его логи – это атаки на SQL-инъекции, XSS, брутфорс форм авторизации. Без централизованного сбора не получится увидеть ситуацию целиком. Атака может начаться через веб-форму, а продолжиться внутри периметра через фаервол.

Интеграция FortiWeb с FortiAnalyzer настраивается так:

  1. В административной консоли FortiWeb нужно перейти вLog Settings.
  2. Включить отправку логов на удаленный сервер syslog или FortiAnalyzer.
  3. Указать IP-адрес и порт FortiAnalyzer.
  4. Выбрать типы логов для отправки: трафик, атаки, события системы.

В FortiAnalyzer логи FortiWeb подтягиваются автоматически, если устройство добавлено в ADOM. Как и в случае с FortiGate, можно настраивать правила включения или исключения определенных устройств и подсетей для источникаFortiWeb Logв настройках Data Sources.

Подключение FortiMail к FortiAnalyzer

FortiMail – почтовый шлюз, который фильтрует спам, фишинг и вредоносные вложения. Его логи используются в расследовании инцидентов, связанных с email-атаками.

По умолчанию в FortiAnalyzer идентификация из логов FortiMailотключенадля всех устройств. Поэтому, если нужно автоматическое распознавание устройства и пользователей из почтовых логов, то нужно вручную включить этот источник данных.

Настройка источника данных FortiMail Log делается так:

  1. Нужно перейти вFabric View, а затем в Identity Center, Tools и Data Sources.
  2. Нажать Create New.
  3. Выбрать типFortiMail Log.
  4. Включить статус ON.
  5. Указать домены для включения в полеInclude Domains. Логи будут приниматься только от указанных доменов.

Без этой настройки логи поступают, но FortiAnalyzer не использует их для дополнения данных о пользователях.

FortiMail также интегрируется с FortiSandbox. Неизвестные вложения и ссылки удерживаются, отправляются в песочницу, и только после проверки доставляются адресату. Логи всех операций отправляются в FortiAnalyzer.

Настройка Log Forwarding во внешние SIEM-системы

Можно настроить передачу данных из FortiAnalyzer в Splunk, IBM QRadar, LogScale или ArcSight, так как он поддерживаетlog forwarding через syslog. Это стандартный протокол, который понимают все SIEM.

В FortiAnalyzer нужно зайти вSystem Settings, затем Advanced и Log Forwarding. Нажать Create New и указать следующие параметры:

  • Remote Server Type: Syslog
  • Server FQDN/IP: адрес SIEM-сервера
  • Server Port: порт (обычно 514, 6514 для TLS)
  • Reliable Connection. Нужно включить для гарантированной доставки.

Но есть нюанс с форматами.

Проблема форматов syslog и ее решение

До версии 7.2.6 FortiAnalyzer использовал проприетарный формат FortiGate-style (FGT). И многие SIEM-системы ожидали именно его.

Начиная с версии 7.2.6, Fortinet перешел на стандартRFC 5424. Добавились экранирующие символы (backslash). Это создало проблемы. Старые SIEM, неготовые к новому формату, ломали парсинг. Плюс в версии 7.2.9 был баг (Bug ID 1050063), из-за которого пересылка логов могла останавливаться через несколько дней работы.

Для устранения проблемы нужно:

  1. Обновить FortiAnalyzer до версии7.2.10 или более новой, чтобы исправить баг.
  2. Принудительно установить формат syslog RFC 5424 через CLI.

Также нужно убедиться, что SIEM-система поддерживает RFC 5424. Например, Splunk, QRadar, LogScale его поддерживают.

Безопасная передача с TLS-сертификатами

Если логи содержат чувствительные данные, то нельзя оставлять syslog без шифрования. FortiAnalyzer поддерживает TLS поверх syslog. Настройка защищенного канала(по документации Red Canary)делается так:

  1. Генерируется root CA и intermediate CA с помощью OpenSSL 3.1+.
  2. Создается локальный сертификат для SIEM-коллектора с указанием FQDN в CN и SAN.
  3. В FortiAnalyzer импортируется root CA и intermediate CA (через System Settings и Certificates).
  4. В настройках log forwarding включаетсяfwd-secure enable.
  5. Сертификаты загружаются в SIEM-систему.

Без правильно настроенных сертификатов соединение не установится. Поэтому важно убедиться, что цепочка построена правильно.

После завершения настройки обязательно проверяется поступление логов. Для этого выполняется CLI-команда:diagnose test application logfwd 6. Она отобразит статусы syslog-серверов. Они должны быть healthy, без счетчиков ошибок.

Если логи не идут, то нужно проверить блокировку порта на файрволе между FortiAnalyzer и SIEM, как прописан FQDN и включен фильтр, который отсекает все события или нет.

Правильная интеграция FortiAnalyzer с FortiGate, FortiWeb, FortiMail и SIEM-системами – основа для работы SOC. Без централизованного сбора логов не получится увидеть атаку от первого скана до эксфильтрации.