Problema con Email Alert Trigger

Para temas referentes al almacenamiento de logs, creación de resumenes y otros temas referentes a los productos FortiAnalyzer
Responder
azkel
Mensajes: 5
Registrado: 21 Ene 2014, 20:13

Problema con Email Alert Trigger

Mensaje por azkel »

Estimados,

Se me presenta el siguiente inconveniente con un FortiAnalyzer v5.0.2.

Tengo configurado el Alert Trigger de la siguiente forma;

Log Filters (Add Filter);
Level Greater Than or Equal to Critical
UTM Event Contains severity=critical

Send Alerts To: Email Address
Severity: Critical


Necesito que solo me lleguen al mail las alertas criticas, pero me llegan alertas de cualquier severidad.


Es posible que se trate de algun bug en la version del firmware?



Saludos cordiales.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema con Email Alert Trigger

Mensaje por gabyrossi »

hola, y el que te la envias en el fortianalyzer o el fortigate?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
azkel
Mensajes: 5
Registrado: 21 Ene 2014, 20:13

Re: Problema con Email Alert Trigger

Mensaje por azkel »

Hola gabyrossi, te pido mil disculpas pero no entendí bien tu pregunta. Si te referís cual es el equipo que envía el mail, es el mismo FortiAnalyzer quien lo envía.


Saludos y gracias!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema con Email Alert Trigger

Mensaje por gabyrossi »

mostras la pantalla de config. de la alerta y el mensaje de alerta que llega?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
azkel
Mensajes: 5
Registrado: 21 Ene 2014, 20:13

Re: Problema con Email Alert Trigger

Mensaje por azkel »

Adjunto la captura de la configuración del Alert Trigger. Me faltaria la de los mensajes generales que llegan que en cuento bien pueda lo hago.


Saludos y muchas gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema con Email Alert Trigger

Mensaje por gabyrossi »

y el alerta que llega cual es?¡??

que version estas usando de analyzer?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
azkel
Mensajes: 5
Registrado: 21 Ene 2014, 20:13

Re: Problema con Email Alert Trigger

Mensaje por azkel »

Gabriel;

El equipo es un FortiAnalyzer 100C, v5.0.2


Una de las alerta que llega es la siguiente;

Time: Wed Jan 26 13:40:41 ART 2014
Type: alert
Severity: high
From: FortiAnalyzer-100C(FL100C3910003883)
Trigger: HighAlert
Threshold: more than 1 event(s) occurred within last 6 minutes
Return-Path: log@etherincoll.com
Message-ID:
<WLSP-O0169aZbLAX3cf00000005@wlsp-o01.GLOBAL.etherincoll.com>
X-OriginalArrivalTime: 29 Jan 2014 13:40:01.0233 (UTC)
FILETIME=[F382BA90:01CD7D0B]
Date: 26 Jan 2014 13:40:41 -0300

Log message:
date=2014-01-26 time=13:40:41 itime=1391024859 devid=FG300B3910600945
logid=16385 type=ips subtype=signature pri=alert vd=Portmirror
severity=medium srcip=10.10.15.38 dstip=10.10.52.8 srcintf="port4"
policyid=1 identidx=0 sessionid=0 status=detected proto=1 service=icmp
count=1 attackname="Multiple.Vendor.ICMP.Remote.DoS" icmpid=0x0000
icmptype=0x04 icmpcode=0x00 attackid=13244 sensor="ruleipspmirror"
ref="http://www.fortinet.com/ids/VID13244" incidentserialno=1719070378
msg="DoS: Multiple.Vendor.ICMP.Remote.DoS,"



Si bien, como indica la regla, el parametro "Severity" esta seteado en "high". Dentro de "log message" figura severity=medium


Disculpas por la demora en la respuesta Gabriel, te agradeceria mucho la ayuda.


Saludos cordiales.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema con Email Alert Trigger

Mensaje por gabyrossi »

hola, en el fortigate no tenes seteado alertas tambien?
lo revisaste?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
azkel
Mensajes: 5
Registrado: 21 Ene 2014, 20:13

Re: Problema con Email Alert Trigger

Mensaje por azkel »

Gabriel, todos los Alert Email de los vdoms estan configurados de la misma manera, adjunto dicha configuración.


Saludos y muchas gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Responder