Problema con Email Alert Trigger
Problema con Email Alert Trigger
Estimados,
Se me presenta el siguiente inconveniente con un FortiAnalyzer v5.0.2.
Tengo configurado el Alert Trigger de la siguiente forma;
Log Filters (Add Filter);
Level Greater Than or Equal to Critical
UTM Event Contains severity=critical
Send Alerts To: Email Address
Severity: Critical
Necesito que solo me lleguen al mail las alertas criticas, pero me llegan alertas de cualquier severidad.
Es posible que se trate de algun bug en la version del firmware?
Saludos cordiales.
Se me presenta el siguiente inconveniente con un FortiAnalyzer v5.0.2.
Tengo configurado el Alert Trigger de la siguiente forma;
Log Filters (Add Filter);
Level Greater Than or Equal to Critical
UTM Event Contains severity=critical
Send Alerts To: Email Address
Severity: Critical
Necesito que solo me lleguen al mail las alertas criticas, pero me llegan alertas de cualquier severidad.
Es posible que se trate de algun bug en la version del firmware?
Saludos cordiales.
Re: Problema con Email Alert Trigger
hola, y el que te la envias en el fortianalyzer o el fortigate?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Email Alert Trigger
Hola gabyrossi, te pido mil disculpas pero no entendí bien tu pregunta. Si te referís cual es el equipo que envía el mail, es el mismo FortiAnalyzer quien lo envía.
Saludos y gracias!
Saludos y gracias!
Re: Problema con Email Alert Trigger
mostras la pantalla de config. de la alerta y el mensaje de alerta que llega?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Email Alert Trigger
Adjunto la captura de la configuración del Alert Trigger. Me faltaria la de los mensajes generales que llegan que en cuento bien pueda lo hago.
Saludos y muchas gracias.
Saludos y muchas gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Problema con Email Alert Trigger
y el alerta que llega cual es?¡??
que version estas usando de analyzer?
que version estas usando de analyzer?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Email Alert Trigger
Gabriel;
El equipo es un FortiAnalyzer 100C, v5.0.2
Una de las alerta que llega es la siguiente;
Time: Wed Jan 26 13:40:41 ART 2014
Type: alert
Severity: high
From: FortiAnalyzer-100C(FL100C3910003883)
Trigger: HighAlert
Threshold: more than 1 event(s) occurred within last 6 minutes
Return-Path: log@etherincoll.com
Message-ID:
<WLSP-O0169aZbLAX3cf00000005@wlsp-o01.GLOBAL.etherincoll.com>
X-OriginalArrivalTime: 29 Jan 2014 13:40:01.0233 (UTC)
FILETIME=[F382BA90:01CD7D0B]
Date: 26 Jan 2014 13:40:41 -0300
Log message:
date=2014-01-26 time=13:40:41 itime=1391024859 devid=FG300B3910600945
logid=16385 type=ips subtype=signature pri=alert vd=Portmirror
severity=medium srcip=10.10.15.38 dstip=10.10.52.8 srcintf="port4"
policyid=1 identidx=0 sessionid=0 status=detected proto=1 service=icmp
count=1 attackname="Multiple.Vendor.ICMP.Remote.DoS" icmpid=0x0000
icmptype=0x04 icmpcode=0x00 attackid=13244 sensor="ruleipspmirror"
ref="http://www.fortinet.com/ids/VID13244" incidentserialno=1719070378
msg="DoS: Multiple.Vendor.ICMP.Remote.DoS,"
Si bien, como indica la regla, el parametro "Severity" esta seteado en "high". Dentro de "log message" figura severity=medium
Disculpas por la demora en la respuesta Gabriel, te agradeceria mucho la ayuda.
Saludos cordiales.
El equipo es un FortiAnalyzer 100C, v5.0.2
Una de las alerta que llega es la siguiente;
Time: Wed Jan 26 13:40:41 ART 2014
Type: alert
Severity: high
From: FortiAnalyzer-100C(FL100C3910003883)
Trigger: HighAlert
Threshold: more than 1 event(s) occurred within last 6 minutes
Return-Path: log@etherincoll.com
Message-ID:
<WLSP-O0169aZbLAX3cf00000005@wlsp-o01.GLOBAL.etherincoll.com>
X-OriginalArrivalTime: 29 Jan 2014 13:40:01.0233 (UTC)
FILETIME=[F382BA90:01CD7D0B]
Date: 26 Jan 2014 13:40:41 -0300
Log message:
date=2014-01-26 time=13:40:41 itime=1391024859 devid=FG300B3910600945
logid=16385 type=ips subtype=signature pri=alert vd=Portmirror
severity=medium srcip=10.10.15.38 dstip=10.10.52.8 srcintf="port4"
policyid=1 identidx=0 sessionid=0 status=detected proto=1 service=icmp
count=1 attackname="Multiple.Vendor.ICMP.Remote.DoS" icmpid=0x0000
icmptype=0x04 icmpcode=0x00 attackid=13244 sensor="ruleipspmirror"
ref="http://www.fortinet.com/ids/VID13244" incidentserialno=1719070378
msg="DoS: Multiple.Vendor.ICMP.Remote.DoS,"
Si bien, como indica la regla, el parametro "Severity" esta seteado en "high". Dentro de "log message" figura severity=medium
Disculpas por la demora en la respuesta Gabriel, te agradeceria mucho la ayuda.
Saludos cordiales.
Re: Problema con Email Alert Trigger
hola, en el fortigate no tenes seteado alertas tambien?
lo revisaste?
lo revisaste?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Email Alert Trigger
Gabriel, todos los Alert Email de los vdoms estan configurados de la misma manera, adjunto dicha configuración.
Saludos y muchas gracias.
Saludos y muchas gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.