FortiGateのログをMicrosoft Sentinelに連携する方法 – ログフォワーダー+AMAを活用
- Microsoft Sentinel
- FortiGate
- SOC
- ログ分析
- セキュリティ管理
1. FortiGateをSentinelに連携するメリット
・ セキュリティログを統合管理 – 複数の機器のログを一元化し、脅威をより正確に分析
・ リアルタイム監視 – Microsoft Sentinelのルールを適用し、脅威検出を強化
・ 自動インシデント対応 – Sentinelのプレイブックを活用し、インシデント対応を自動化
・ ログの長期保存と可視化 – Log Analyticsを活用し、詳細な分析が可能
この仕組みにより、SOC運用の負担を軽減しながら、セキュリティの可視性を向上させることができます。
2. 構成概要
FortiGateのログをSentinelに送信するには、以下の構成を採用します。
- FortiGate → Syslog形式でログを出力
- ログフォワーダー(Linux VM) → Syslogを受信し、Azure Monitor Agent (AMA) を使用してMicrosoft Sentinelに転送
- Microsoft Sentinel → Log Analytics経由でFortiGateのログを収集・分析
この方法を採用することで、FortiGateを直接Sentinelに接続する必要がなく、管理の柔軟性が向上します。
3. 手順詳細
① ログフォワーダーの準備
まず、FortiGateのSyslogデータを受信するためのログフォワーダー(Linux VM)をAzure上に構築します。
1. AzureにLinux VMを作成
- OS: Ubuntu 20.04 または RHEL 8 以上を推奨
- ネットワーク設定:
- FortiGateからのSyslogを受信できるようTCP/UDP 514ポートを開放
2. Syslogのセットアップ
Linux VMにSyslogサーバー(rsyslogまたはsyslog-ng)をインストールします。
sudo apt update && sudo apt install -y rsyslog設定ファイル /etc/rsyslog.conf を編集し、以下の行を追加:
# UDP 514ポートでSyslogを受信
$ModLoad imudp
$UDPServerRun 514
# FortiGateのログを専用ファイルに保存
if $fromhost-ip startswith '<FortiGateのIP>' then /var/log/fortigate.log
& stopSyslogを再起動:
sudo systemctl restart rsyslog② Azure Monitor Agent (AMA) のインストール
次に、ログフォワーダーにAzure Monitor Agent (AMA) を導入し、FortiGateのログをSentinelに送信できるようにします。
1. コンテンツハブから「Fortinet Solution」をインストール
Microsoft Sentinel → コンテンツハブ を開く。
「Fortinet Solution」を検索し、インストール。
データコネクタ(CEF via AMA)が自動的に追加されることを確認。
2. AMAのインストール
Microsoft Sentinelの「Common Event Format (CEF) via AMA」データコネクタページで提供されているスクリプトを使用し、ログフォワーダーにAMAをインストール。
wget -O ama_installer.py https://aka.ms/AzureMonitorAgentInstall
sudo python3 ama_installer.py3. データコレクションルール(DCR)の作成
- Microsoft Sentinel → データコネクタ → CEF via AMA を開く
- 「+ データコレクションルールを作成」
- データソース: Syslog
- カテゴリ: local7
- ログレベル: LOG_NOTICE
- リソースにログフォワーダー(Linux VM)を追加
- 「作成」をクリック
③ FortiGate側のSyslog設定
最後に、FortiGateでSyslog転送の設定を行います。
1. FortiGateのCLIでSyslogを設定
config log syslogd setting
set status enable
set server <ログフォワーダーのIPアドレス>
set mode udp
set port 514
set facility local7
set format cef
end2. FortiGateのログレベルを調整
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set anomaly enable
endこの設定で、FortiGateのログがSyslogフォーマットでログフォワーダーに転送され、AMAを通じてMicrosoft Sentinelに統合されます。
4. Sentinelでログの確認
設定が完了したら、Microsoft Sentinelでログが正しく収集されているか確認します。
① KQLでログを確認
Microsoft Sentinelのログクエリを開き、以下のKQLクエリを実行:
Syslog
| where Facility == "local7"
| where Hostname contains "FortiGate"
| project TimeGenerated, Hostname, Message
| sort by TimeGenerated desc② ログが収集されていない場合のチェックポイント
ログフォワーダーのSyslogが正しく動作しているか
tail -f /var/log/fortigate.logAMAのステータスが正常か
systemctl status azuremonitoragentDCRが適用されているか
Heartbeat | where Category == "Syslog"5. まとめ
FortiGateのログをMicrosoft Sentinelに連携するには、ログフォワーダーを介したAzure Monitor Agent (AMA) の活用が最も効率的です。
・SyslogをLinuxログフォワーダーに送信
・ Azure Monitor Agent (AMA) でMicrosoft Sentinelに転送
・ KQLクエリを活用して脅威をリアルタイム監視
これにより、SOC運用の負担を減らしながら、脅威を迅速に検知・対応できます。
Colorkrew Securityでは、お客様に寄り添うことをモットーに、無料相談を承っております。セキュリティ監視を強化したい方は、ぜひColorkrew SecurityのSOCサービスをご検討ください。
