Tipos de Log a Correlacionar

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
jr_loc@hotmail.com
Mensajes: 2
Registrado: 02 Sep 2013, 21:30

Tipos de Log a Correlacionar

Mensaje por jr_loc@hotmail.com »

Hola a todos.
Tal ves alguien ya haya pasado por esto: Estoy intentando correlacionar eventos de un FortiGate 310B, que actualmente lo uso prioritariamente como WebFilter, lo malo es que me generan taaaantos log que se hace engorroso reconocer los log relevantes para la seguridad. Es por ello que pregunto si alguien tiene identificado los log que son relevantes para la correlación.

Agradecería vuestro apoyo.
Gracias
Jorge
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Tipos de Log a Correlacionar

Mensaje por gabyrossi »

hola, estas logueando donde?
revisa si en la politica logueas trafico, deberias loguear solo utm webfilter

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jr_loc@hotmail.com
Mensajes: 2
Registrado: 02 Sep 2013, 21:30

Re: Tipos de Log a Correlacionar

Mensaje por jr_loc@hotmail.com »

Hola
Lo malo que en el último upgrade que se hizo, ya no sale la configuración de un syslog remoto, por lo que revisando con comandos, tengo la siguiente configuración:

config log syslogd setting
set status enable
set server "10.15.1.55"
set facility kernel
end

config log syslogd filter
set severity information
end

Será esto conforme a lo que me dices, o habrá algo mas?
Gracias.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Tipos de Log a Correlacionar

Mensaje por gabyrossi »

Hola,
revisa el settings del suslog
facilicty por default siempre es local7... (ptrobalo)
y el minimum log lvel es information


en el filter deberias tener habiliotado lo refenrete a web o lo que necesites.

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder