SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

新人ブログ Vol.9(Eメールアラート通知)

Fortinet
    2019.08.23

    本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、
    エンジニア2年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

    <お問い合わせ NO.9 Eメールアラート通知

    今回は以下のようなお問い合わせを受けました。

    • FortiGateで発生したイベントをEメール等で通知する方法はありますか?

    FortiGateにはセキュリティ、ネットワーク、システムなどFortiGate上で発生するあらゆるイベントを自動的に管理者に通知することが出来ます。
    通知方法は"Eメールアラート設定"と"オートメーション"の2通りの方法をがあります。
    今回はこれらの機能を紹介していきます。

    FortiOSは6.2です。

    <Eメールアラート設定>

    先ずはEメールアラート設定から設定方法と動作について説明していきます。

    Eメールアラート設定 > ログ&レポートから設定を行います。
    Eメールアラート設定の通知を送信するトリガーとなるアラートパラメータは"イベント"と"重大度"の2種類あります。

    キャプチャ.PNG

    イベントパラメータではセキュリティ、管理、VPNの3つの項目の中にトリガーが用意されています。
    ウイルスの検知時、設定変更、SSL VPNログイン失敗時など、全部で10個程度のトリガーが選択できます。

    重大度パラメータでは、FortiGateで定義されているイベントの重要度がDebug~Emergencyまでの8個のレベルで分けられています。
    ここでは選択した重要度以上のレベルに該当するイベントがトリガーの対象となります。

    今回はイベントパラメータでFortiGate管理者ログインが行われた際に、管理者のメールアドレス宛にアラートが通知されるよう設定していきます。
    Fromには送信元のサーバアドレス、Toに宛先メールアドレスを入力します。
    トリガーは管理項目の"管理者ログイン/ログアウト"を有効にします。
    これにより対象のFortiGateでログイン、ログアウトが行われ際に宛先メールアドレスにアラートを通知します。
    図1.png

    実際にログイン、ログアウトを行い宛先メールにイベントの通知が来ていることを確認します。

    図2.png

    Eメールアラート設定ではアラートが発生するトリガーとなるイベントを広い範囲で設定できます。
    そのため特定のイベントではなく、広範なセキュリティやネットワークのイベントをアラートとして通知が出来ます。

    反面、定義するアラートパラーメータはイベントか重大度のどちらかしか選べず、双方を同時に利用することはできません。
    またイベントの項目が少なく、詳細なトリガー設定ができないためアラートとして通知されるメールの量が多くなってしまいます。

    <オートメーション>

    FortiGateからイベント情報をEメール通知させるもう一つの方法としてオートメーション機能があります。
    オートメーションはFortiGateの管理コンポーネントで発生したアクティビティを自動化する機能です。
    様々なトリガーとアクションが用意されており、セキュリティイベントへの応答時間を短縮できます。

    04_50_34.jpg

    今回はEメールアラート設定と同様に、管理者ログインが発生した際に管理者メールアドレスに通知されるよう設定を行います。
    オートメーション > セキュリティファブリックで、トリガーから"FortiOSイベントログ"を選択します。
    FortiOSイベントログには様々な種類の詳細なイベントが数多く用意されています。
    Eメールアラート設定では"管理者ログイン/ログアウト"としか選択できませんが、オートメーションでは"Admin login successful"、"Admin logout successful"、"Admin login failed"と管理者ログイン時やログアウト時、ログインの失敗時など詳細にイベントを設定できます。
    ここでは"Admin login successful(ログイン成功)"を選択します。

    キャプチャ.PNG

    続いてアクションを選択します。
    オートメーションでは1つのトリガーに対して複数のアクションを設定することが可能です。
    ここではEメールを選びます。

    EメールアクションのEメールアラート設定とは異なる点として、アラートメールの題名、本文のカスタマイズが可能です。
    デフォルトではEメール本文はEメールアラート設定と同様に、イベントログを全て本文に表示するだけですが、環境変数を利用することで必要な情報のみを見やすく抜き出すことが出来ます。
    例として下図のようにカスタマイズしました。

    キャプチャ.PNG

    実際にログインし、メールの通知を確認します。

    キャプチャ.PNG

    このようにオートメーション機能のEメールアクションは従来のEメールアラート設定より詳細なトリガーを選択できます。
    これにより不要な通知を飛ばすことなく、変数を利用したカスタマイズを用いることで必要な情報のみ取得することが可能です。

    しかしデメリットとしてトリガーは1つしか選ぶことが出来ず、複数のオートメーションを設定したい場合はその都度新規のステッチを作成する必要があります。
    またEメールをアクションとして使う場合は、Eメールアラート設定と異なり、送信元アドレスを設定できません。
    そのため返信先が設定されず宛先に送信させるので、受信者側の設定によっては迷惑メールに入る恐れがあります。

    その際はEメール以外にWebhook機能でチャットツールなどとも連携できます。

    ----------------------

    検証後記

    FortiGateのアラート通知ができる、Eメールアラート設定とオートメーション機能を紹介しました。
    この2つは一見同じ機能に見えますが、よく設定をしてみると多くの違いがあります。
    それぞれ一長一短の機能なので環境に適した設定をすることが重要です。

    また、今回Eメールによるアラート通知に焦点を置いて説明したオートメーション機能ですが、他にも様々な使い道があります。
    FortiOS6.2にアップデートし、いくつか機能も増えたため、今後紹介していければと思います。

    以上

    他のおすすめ記事はこちら

    著者紹介

    SB C&S株式会社
    第3技術部2課

    渡邊 理史

    2018年 SB C&S入社。一人前のネットワーク&セキュリティエンジニアになるべく、日々技術書を片手にうどんをすする。
    趣味はジビエ料理。特にワイン煮込みには自信あり。熊を料理するならお任せください。