Catalog
FortiGate Firewall
FortiGate Firewall
| Pack name | Fortigate Firewall |
| Version | 1.0.2 |
| Vendor | Fortinet |
| Capabilities | Parser · Streaming Rules · Correlation Rules · Dashboard |
| Categories | Firewall · Network · IPS · UTM Security |
Overview
Pack cung cấp giám sát toàn diện FortiGate Next-Generation Firewall trên SecOps platform, bao gồm:
- Parser — chuẩn hóa log FortiGate key-value syslog (traffic, UTM, event) sang ECS
- 7 streaming rules — phát hiện denied traffic, IPS attack, malware, web filter block, admin auth fail, DoS anomaly
- 2 correlation rules — phát hiện brute-force admin login và IPS attack campaign bền vững
- 1 dashboard — 12 chart giám sát SOC firewall và UTM threats
Yêu cầu trước khi cài đặt
| Yêu cầu | Chi tiết |
|---|---|
| FortiOS 6.4+ | Bật remote syslog: Log & Report → Log Settings → Remote Logging |
| Log categories | Bật đầy đủ: Traffic, UTM (IPS, Antivirus, Web Filter, Application Control), Event |
| Log shipper | Filebeat/Fluentd/Logstash đẩy JSON-wrapped về SecOps |
| Tag log source | vendor = fortigate |
| Quyền platform | Role Content Pack Manager |
Định dạng log bắt buộc
{
"message": "<raw FortiGate key-value syslog line>",
"timestamp": "2026-01-07T07:55:06.703Z"
}
Parser đọc
timestampcho event time,message→ toàn bộ key-value pairs.
Ví dụ log hợp lệ
Traffic log — denied connection:
{"timestamp":"2026-01-07T07:55:06.703Z","message":"date=2019-05-10 time=14:25:30 logid=\"0000000013\" type=\"traffic\" subtype=\"forward\" level=\"warning\" vd=\"vdom1\" srcip=192.168.1.200 srcport=45678 srcintf=\"port12\" dstip=10.0.0.50 dstport=22 dstintf=\"port11\" sessionid=105050 proto=6 action=\"deny\" policyid=2 service=\"SSH\" duration=0"}
UTM log — IPS attack blocked:
{"timestamp":"2026-01-07T07:55:06.703Z","message":"date=2019-05-15 time=17:56:41 logid=\"0419016384\" type=\"utm\" subtype=\"ips\" eventtype=\"signature\" level=\"alert\" vd=\"root\" srcip=203.0.113.22 dstip=172.16.200.55 action=\"dropped\" proto=6 service=\"HTTP\" attack=\"Adobe.Flash.newfunction.Handling.Code.Execution\" srcport=46810 dstport=80 attackid=23305"}
Event log — admin login failed:
{"timestamp":"2026-01-07T08:10:00.000Z","message":"date=2019-05-15 time=08:10:00 logid=\"0100032003\" type=\"event\" subtype=\"system\" level=\"alert\" vd=\"root\" msg=\"Administrator admin login failed from ssh (192.168.1.50)\" srcip=192.168.1.50 user=\"admin\""}
Parser phân biệt loại log qua field
type=trong message:traffic,utm,event.
Cài đặt
- Vào Marketplace → tìm "Fortigate Firewall" → Install
- Kiểm tra Parsers →
fortigate-parserđang active - Kiểm tra Detection Rules → filter tag FortiGate → 9 rules đang enabled
- Mở Dashboards → FortiGate Security Overview
Parser — Các trường ECS chính
| ECS Field | Nguồn | Mô tả |
|---|---|---|
event.action | action= field | allowed, denied, blocked, detected |
event.module | type= / subtype= | fortigate.traffic, fortigate.ips, fortigate.virus... |
source.ip / source.port | srcip= / srcport= | IP và port nguồn |
destination.ip / destination.port | dstip= / dstport= | IP và port đích |
network.transport | proto= | tcp, udp, icmp |
threat.name | attack= / virus= | Tên threat (IPS signature hoặc malware) |
url.domain | hostname= | Domain bị web filter block |
user.name | user= | Tên user (event log) |
Detection Rules
Streaming Rules (7 rules — real-time)
| # | Rule | Severity | Mô tả |
|---|---|---|---|
| 1 | FortiGate Traffic Denied | Medium | Kết nối mạng bị firewall policy deny — phát hiện unauthorized access và port probing |
| 2 | FortiGate IPS Attack Blocked | High | IPS engine phát hiện và block attack signature (action=dropped/reset) |
| 3 | FortiGate IPS Attack Detected (Not Blocked) | Critical | IPS phát hiện nhưng KHÔNG block — attack đang xảy ra thực sự, cần xử lý ngay |
| 4 | FortiGate Antivirus Malware Detected | High | Antivirus phát hiện malware trong file download hoặc web traffic |
| 5 | FortiGate Web Filter Blocked Malicious | Medium | Web filter block truy cập domain/URL độc hại hoặc vi phạm policy |
| 6 | FortiGate Admin Logon Failed | High | Đăng nhập admin vào FortiGate thất bại — nghi ngờ brute-force management plane |
| 7 | FortiGate DoS Anomaly Attack | High | DoS anomaly detection kích hoạt — host đang bị flood hoặc có bất thường lưu lượng lớn |
Correlation Rules (2 rules — pattern)
| # | Rule | Severity | Mô tả | Ngưỡng | Lookback |
|---|---|---|---|---|---|
| 8 | FortiGate Brute Force Admin Login | High | Nhiều lần đăng nhập admin thất bại từ cùng IP — brute-force management interface | ≥ 5 lần | 15 phút |
| 9 | FortiGate High Volume IPS Attacks | High | Nhiều IPS block liên tiếp từ cùng IP — attack campaign bền vững nhắm vào hệ thống | ≥ 10 lần | 15 phút |
Dashboard — FortiGate Security Overview
| # | Chart | Loại | Mô tả |
|---|---|---|---|
| 1 | Traffic Events Trend | LINE | Trend traffic events theo thời gian |
| 2 | Total Traffic Events | METRIC | Tổng số traffic events |
| 3 | Denied Traffic Count | METRIC | Tổng kết nối bị deny |
| 4 | IPS Attacks Detected | METRIC | Tổng IPS attack phát hiện |
| 5 | Malware Detections | METRIC | Tổng malware phát hiện |
| 6 | Traffic Action Distribution | PIE | Allow vs Deny |
| 7 | Threat Events by Module | PIE | Phân bố: IPS / Antivirus / Web Filter / DoS |
| 8 | Top Source IPs — Denied | BAR | IP bị deny nhiều nhất |
| 9 | Top IPS Attack Sources | BAR | IP nguồn IPS attack nhiều nhất |
| 10 | Top Threat Signatures | BAR | IPS signature kích hoạt nhiều nhất |
| 11 | Recent Denied Traffic | TABLE | 20 kết nối bị deny gần nhất |
| 12 | Recent Threat Events | TABLE | 20 sự kiện IPS/malware gần nhất |
SOC Triage nhanh:
- Metrics 4–5 → cao → đang bị tấn công chủ động
- Rule 3 alert (IPS not blocked) → xử lý ngay — attack đang bypass
- Chart 9 → một IP chiếm đa số → targeted attacker
- Table 12 → xác nhận loại tấn công và target host
Troubleshooting
| Triệu chứng | Nguyên nhân | Cách xử lý |
|---|---|---|
| Không có event | Sai tag log source | Kiểm tra vendor = fortigate |
| Chỉ có traffic events | UTM log không gửi | Bật UTM log categories trong FortiOS logging settings |
threat.name trống | Thiếu attack= field | Kiểm tra IPS profile đã enabled full logging |
url.domain trống | Web filter log thiếu hostname= | Cấu hình web filter log để include hostname field |
| Parser không khớp | Parser bị tắt | Kiểm tra fortigate-parser.yaml đang active trong Parsers |
Checklist parser:
- Tag
vendor = fortigate - JSON có đủ
message,timestamp - FortiOS đã bật đủ log categories: traffic + UTM + event
-
fortigate-parser.yamlđang active
Hỗ trợ
- Lỗi platform: Mở ticket tại SecOps support portal
- Góp ý pack: Dùng tính năng feedback trên trang Marketplace
- Tuning rule: Slack
#detection-engineering
Last updated: 2026-06-04 · Vendor: Fortinet · Author: secops-team