Catalog

FortiGate Firewall

FortiGate Firewall

Pack nameFortigate Firewall
Version1.0.2
VendorFortinet
CapabilitiesParser · Streaming Rules · Correlation Rules · Dashboard
CategoriesFirewall · Network · IPS · UTM Security

Overview

Pack cung cấp giám sát toàn diện FortiGate Next-Generation Firewall trên SecOps platform, bao gồm:

  • Parser — chuẩn hóa log FortiGate key-value syslog (traffic, UTM, event) sang ECS
  • 7 streaming rules — phát hiện denied traffic, IPS attack, malware, web filter block, admin auth fail, DoS anomaly
  • 2 correlation rules — phát hiện brute-force admin login và IPS attack campaign bền vững
  • 1 dashboard — 12 chart giám sát SOC firewall và UTM threats

Yêu cầu trước khi cài đặt

Yêu cầuChi tiết
FortiOS 6.4+Bật remote syslog: Log & Report → Log Settings → Remote Logging
Log categoriesBật đầy đủ: Traffic, UTM (IPS, Antivirus, Web Filter, Application Control), Event
Log shipperFilebeat/Fluentd/Logstash đẩy JSON-wrapped về SecOps
Tag log sourcevendor = fortigate
Quyền platformRole Content Pack Manager

Định dạng log bắt buộc

{
  "message": "<raw FortiGate key-value syslog line>",
  "timestamp": "2026-01-07T07:55:06.703Z"
}

Parser đọc timestamp cho event time, message → toàn bộ key-value pairs.

Ví dụ log hợp lệ

Traffic log — denied connection:

{"timestamp":"2026-01-07T07:55:06.703Z","message":"date=2019-05-10 time=14:25:30 logid=\"0000000013\" type=\"traffic\" subtype=\"forward\" level=\"warning\" vd=\"vdom1\" srcip=192.168.1.200 srcport=45678 srcintf=\"port12\" dstip=10.0.0.50 dstport=22 dstintf=\"port11\" sessionid=105050 proto=6 action=\"deny\" policyid=2 service=\"SSH\" duration=0"}

UTM log — IPS attack blocked:

{"timestamp":"2026-01-07T07:55:06.703Z","message":"date=2019-05-15 time=17:56:41 logid=\"0419016384\" type=\"utm\" subtype=\"ips\" eventtype=\"signature\" level=\"alert\" vd=\"root\" srcip=203.0.113.22 dstip=172.16.200.55 action=\"dropped\" proto=6 service=\"HTTP\" attack=\"Adobe.Flash.newfunction.Handling.Code.Execution\" srcport=46810 dstport=80 attackid=23305"}

Event log — admin login failed:

{"timestamp":"2026-01-07T08:10:00.000Z","message":"date=2019-05-15 time=08:10:00 logid=\"0100032003\" type=\"event\" subtype=\"system\" level=\"alert\" vd=\"root\" msg=\"Administrator admin login failed from ssh (192.168.1.50)\" srcip=192.168.1.50 user=\"admin\""}

Parser phân biệt loại log qua field type= trong message: traffic, utm, event.


Cài đặt

  1. Vào Marketplace → tìm "Fortigate Firewall"Install
  2. Kiểm tra Parsersfortigate-parser đang active
  3. Kiểm tra Detection Rules → filter tag FortiGate → 9 rules đang enabled
  4. Mở DashboardsFortiGate Security Overview

Parser — Các trường ECS chính

ECS FieldNguồnMô tả
event.actionaction= fieldallowed, denied, blocked, detected
event.moduletype= / subtype=fortigate.traffic, fortigate.ips, fortigate.virus...
source.ip / source.portsrcip= / srcport=IP và port nguồn
destination.ip / destination.portdstip= / dstport=IP và port đích
network.transportproto=tcp, udp, icmp
threat.nameattack= / virus=Tên threat (IPS signature hoặc malware)
url.domainhostname=Domain bị web filter block
user.nameuser=Tên user (event log)

Detection Rules

Streaming Rules (7 rules — real-time)

#RuleSeverityMô tả
1FortiGate Traffic DeniedMediumKết nối mạng bị firewall policy deny — phát hiện unauthorized access và port probing
2FortiGate IPS Attack BlockedHighIPS engine phát hiện và block attack signature (action=dropped/reset)
3FortiGate IPS Attack Detected (Not Blocked)CriticalIPS phát hiện nhưng KHÔNG block — attack đang xảy ra thực sự, cần xử lý ngay
4FortiGate Antivirus Malware DetectedHighAntivirus phát hiện malware trong file download hoặc web traffic
5FortiGate Web Filter Blocked MaliciousMediumWeb filter block truy cập domain/URL độc hại hoặc vi phạm policy
6FortiGate Admin Logon FailedHighĐăng nhập admin vào FortiGate thất bại — nghi ngờ brute-force management plane
7FortiGate DoS Anomaly AttackHighDoS anomaly detection kích hoạt — host đang bị flood hoặc có bất thường lưu lượng lớn

Correlation Rules (2 rules — pattern)

#RuleSeverityMô tảNgưỡngLookback
8FortiGate Brute Force Admin LoginHighNhiều lần đăng nhập admin thất bại từ cùng IP — brute-force management interface≥ 5 lần15 phút
9FortiGate High Volume IPS AttacksHighNhiều IPS block liên tiếp từ cùng IP — attack campaign bền vững nhắm vào hệ thống≥ 10 lần15 phút

Dashboard — FortiGate Security Overview

#ChartLoạiMô tả
1Traffic Events TrendLINETrend traffic events theo thời gian
2Total Traffic EventsMETRICTổng số traffic events
3Denied Traffic CountMETRICTổng kết nối bị deny
4IPS Attacks DetectedMETRICTổng IPS attack phát hiện
5Malware DetectionsMETRICTổng malware phát hiện
6Traffic Action DistributionPIEAllow vs Deny
7Threat Events by ModulePIEPhân bố: IPS / Antivirus / Web Filter / DoS
8Top Source IPs — DeniedBARIP bị deny nhiều nhất
9Top IPS Attack SourcesBARIP nguồn IPS attack nhiều nhất
10Top Threat SignaturesBARIPS signature kích hoạt nhiều nhất
11Recent Denied TrafficTABLE20 kết nối bị deny gần nhất
12Recent Threat EventsTABLE20 sự kiện IPS/malware gần nhất

SOC Triage nhanh:

  1. Metrics 4–5 → cao → đang bị tấn công chủ động
  2. Rule 3 alert (IPS not blocked) → xử lý ngay — attack đang bypass
  3. Chart 9 → một IP chiếm đa số → targeted attacker
  4. Table 12 → xác nhận loại tấn công và target host

Troubleshooting

Triệu chứngNguyên nhânCách xử lý
Không có eventSai tag log sourceKiểm tra vendor = fortigate
Chỉ có traffic eventsUTM log không gửiBật UTM log categories trong FortiOS logging settings
threat.name trốngThiếu attack= fieldKiểm tra IPS profile đã enabled full logging
url.domain trốngWeb filter log thiếu hostname=Cấu hình web filter log để include hostname field
Parser không khớpParser bị tắtKiểm tra fortigate-parser.yaml đang active trong Parsers

Checklist parser:

  • Tag vendor = fortigate
  • JSON có đủ message, timestamp
  • FortiOS đã bật đủ log categories: traffic + UTM + event
  • fortigate-parser.yaml đang active

Hỗ trợ

  • Lỗi platform: Mở ticket tại SecOps support portal
  • Góp ý pack: Dùng tính năng feedback trên trang Marketplace
  • Tuning rule: Slack #detection-engineering

Last updated: 2026-06-04 · Vendor: Fortinet · Author: secops-team