皆さんこんにちは！Fortinet製品のプリセールスを担当している能島です。

第2回となる今回は、FortiClient EMSとFortiAnalyzerを連携してログを管理する方法を解説いたします。

社内環境にFortiClient EMSを導入して一括でクライアント端末を管理し、さらに詳細なログ情報についても管理されたい方にご参考になれば幸いです。

-------------------------------------------------------------------
■ 目次

-------------------------------------------------------------------

1. 検証構成

2. 環境

FortiClient v7.2.5（Windows 11 Pro利用）
FortiClient EMS v7.2.4（今回はv7.2.4を使用します）
FortiGate-100F v7.4.4
FortiAnalyzer-300G v7.4.4

3. FortiClient Installerの生成

FortiClientをクライアント端末に導入するために、FortiClient EMS上でFortiClient Installerを生成します。
FortiClient Installerの生成方法は大きく2つあります。

①Endpoints > Invitations より、Invitation Codeが紐づいたFortiClient Installerを生成
②Deployment & Installers > FortiClient Installer より、FortiClient Installerを生成（Invitation Codeは紐づいておりません）

今回は①の方法でFortiClient Installerを生成します。
なお、②のようにFortiClient InstallerとInvitation Codeを個々に生成した場合でも、問題なくFortiClientとFortiClient EMSを連携させることは可能です。
また、すでにデフォルトでFortiClient Installerが生成されておりますので、そちらをご利用してFortiClientをクライアント端末にインストールすることも可能です。

下記添付画像のとおり、FortiClient EMS上のダッシュボード画面より、Endpoints > Invitations を選択します。
右上の "Add" をクリックし、新規でInvitation Codeを生成します。

"Name" には任意の名前を入力します。
今回は分かりやすく組織名として「SB C&S Corp.」と入力しておきます。

"Type" で個人用（Individual）か組織用（Bulk）用かを選択できます。
今回は組織用（Bulk）を選択しておきます。
※個人用（Individual）を選択された場合、次に設定する "Verification Type" であらかじめ設定しているLocal user をBy nameで選択できます。

"Include FortiClient Installer" の +マークをクリックして、FortiClient Installerを生成していきます。

まずステップ1として、Installer TypeとFortiClient Installerのバージョンを設定していきます。
FortiClient EMS v7.2.4で設定可能なFortiClient Installerのバージョンは7.0.3 ～ 7.2.5となります。
今回はFortiClient v7.2.5で設定していきます。

ステップ2で、FortiClient Installerの名前を設定します。
今回はわかりやすくInvitation Code設定時の名前と同じ「SB C&S Corp.」にしておきます。

続くステップ3では、クライアント端末に導入するFortiClientの機能を設定していきます。
デフォルトですべての機能にチェックが付いておりますので、このまま次のステップに進みます。

ステップ4では、ShortcutやInstaller IDの設定を行うことができます。
今回はFortiClient Installerが生成できたかどうかわかりやすく確認できるようにするために、desktop shortcutを有効にしておきます。

最後のステップ5で、テレメトリーを確認できます。
「生成したFortiClient InstallerでインストールしたFortiClientはIPアドレス：192.168.11.72のFortiClient EMSで管理されてますよ！」という内容です。

FortiClient Installerの設定後、再びEdit Invitation画面に戻り、"Verification Type" で Local を選択しておきます。

生成したInvitationの内容を確認してみますと、下記添付画像のとおり、Invitation Codeが生成されていることが分かります。

FortiClient Installerのダウンロードを行うには、ダッシュボード画面より Deployment & Installers > FortiClient Installer を選択します。
そうしますと、先ほど生成したFortiClient Installerが表示されていることが確認でき、一番右の項目の "Download Link" よりダウンロードページに飛ぶことでFortiClient Installerをダウンロードすることができます。

なお、生成したFortiClient Installerをクリックして表示を展開させると、Invitation Codeを確認することも可能です。

FortiClient EMS側で行うFortiClient Installerの最後の設定は、Local Userの作成です。
Invitation Code生成時、"Verification Type" で Local を選択しましたので、FortiClientを利用する際に、Local User作成時に設定するユーザー名とパスワードが尋ねられます。
ですので、FortiClient EMS上でLocal Userを作成しておく必要があります。（Verification Type を Local で設定した場合）

Local Userの作成は非常に簡単です。
ダッシュボード画面より、User Management > Local Users を選択します。
その後、右上の "Add" をクリックして新規のLocal Userを作成します。

Usernameとpasswordを設定します。

設定が完了しました。

こちらで、FortiClient Installerの生成に関してFortiClient EMS側で行う設定は終了です。
管理者がFortiClient Installerをダウンロードして各ユーザに配布することで、ユーザ側は配布されたFortiClient InstallerをダブルクリックするだけでFortiClientをインストールすることが可能です。
続いてFortiClient側の設定方法を解説していきます。

4. FortiClient側の設定

管理者として先ほどのFortiClient Installerの "Download Link" よりFortiClient Installerをダウンロードし、ダウンロードしたFortiClient Installerをユーザ側のクライアント端末に配布している状態です。
ここからクライアント端末にFortiClientをインストールしていきます。

インストールが完了しました。
そうしますと、まずFortiClientのコンソールを立ち上げていただきます。
コンソールを立ち上げていただくとすぐに、Sign inを求められますので、FortiClient EMS側で作成したLocal Userの情報を入力します。

Sign inできました。

FortiClientとFortiClient EMSの連携させるためには、一番上の項目の「ゼロトラストアクセス」より、FortiClient EMSのIPアドレスまたはInvitation Codeを入力していただきます。
今回はInvitation Codeを入力して、連携させていきます。

FortiClientとFortiClient EMSの連携が完了しました。

そして、FortiClientとFortiGateとのSSL-VPN接続についてですが、事前にFortiClient EMS側でリモートアクセスの設定をしておくことでスムーズにSSL-VPN接続を行うことが可能です。
設定方法といたしましてはFortiClient EMS上で、Endpoint Profiles > Remote Access > VPN Tunnelsでリモートゲートウェイを設定します。
そうしますと下記添付画像のように、FortiClient側で "VPN名称" としてFortiClient EMSで設定したVPN経路を選択できますので、そちらを選択してあとはFortiGate側で設定したユーザー定義の情報（ユーザー名 / パスワード）を入力するとSSL-VPN接続が完了します。

5. ポリシー設定

今回はFortiClient EMSでWeb Filterを設定し、FortiClientをインストールしたクライアント端末からギャンブルに関するサイトへアクセスできないようにします。
そのうえでクライアント端末のギャンブルのサイトへのアクセスログをFortiAnalyzerから確認できるように設定していきます。

まずはFortiClient EMS側でWeb Filterの設定を行います。

下記添付画像のとおりFortiClient EMSのダッシュボード画面より、Endpoint Profiles > Web filter を選択します。
右上の "Add" をクリックし、新たにProfileを作成します。

画面を下にスクロールしていただき、Categories セッションの "Adult/Mature Content" の部分の＋マークをクリックし、contentの表示を拡張させます。
"Gambling" という項目がありますので、ギャンブルに関するWebサイトへのアクセスを禁止するように設定します。

こちらでWeb Filterの設定は完了です。

続いてポリシーを設定します。

Endpoint Policy＆Components > Manage Policies を選択し、ポリシーを設定します。

ポリシーのコンポーネントとして、"WF" の部分で先ほど設定したProfileを適用します。

こちらでポリシーの設定は完了です。

最後にFortiClient EMSとFortiAnalyzerを連携させる設定を行います。

6. FortiAnalyzerとの連携＆ログの確認

Endpoint Profiles > System Settings を選択し、Logセッションの "Upload Logs to FortiAnalyzer/FortiManager" を有効にします。
有効にした後、新たに設定項目が表示されますので、その中の "IP Address/Hostname" という項目で、連携するFortiAnalyzerのIPアドレスを入力します。
こちらで設定は完了です。

また、System Settings > Log Settings よりFortiAnalyzerのサーバポート番号も確認しておきます。（FortiAnalyzerのログの集積経路を確認するため）
下記添付画像のとおり、FortiAnalyzerのサーバポート番号は "514" であることがわかります。

FortiClientをインストールしたクライアント端末でギャンブルに関するサイトにアクセスし、Web Filteringされるかどうか試してみるとともに、FortiAnalyzerからアクセスログを確認してみます。

上記画像のとおり、ギャンブルに関するサイトへのアクセスは拒否されたことが確認できます。

続いてFortiAnalyzerのダッシュボード画面よりアクセスログを確認してみます。

上記添付画像はFortiAnalyzerのダッシュボード画面となります。
左側の項目の「デバイスマネージャ」よりFortiClient EMSとの連携を完了させた後、ログビュー > Traffic よりログを確認してみますと、先ほどのギャンブルに関するサイトへのアクセスログFortiAnalyzer側で取得できていることが確認できます。
またURLベースでログ情報を取得しているため、どのユーザがどのようなブラウザを使用して、どのようなサイトへアクセスしたのかを具体的に検知することが可能です。

こちらでFortiClient EMSとFortiAnalyzerの連携やWeb Filteringの設定は完了となります。

最後にWiresharkを使用して、FortiClientからどのような経路でFortiAnalyzerにログが集積されているか確認してみます。
ポート番号を "514" 、IPアドレスをFortiAnalyzerのIPアドレスとしてフィルタを掛けますと、FortiClientからFortiAnalyzerへ向けて直接通信されていることがわかります。

ですので、FortiClientとFortiAnalyzer間はインターネット通信ができない限り、FortiAnalyzer側でログ集積できないことがわかります。
FortiClientのアクセスログをFortiClient EMSがキャッチし、FortiAnalyzerに転送しているということではありませんので、その点ご認識いただければと思います。

7. まとめ

皆さま、いかがでしたでしょうか。

今回はFortiClient EMS v7.2.4でFortiAnalyzerと連携するための設定方法を解説いたしました。
また後日、FortiClient EMS v7.4.0でFortiAnalyzerと連携する場合の設定方法についてブログを投稿しようと思いますので、そちらもぜひご覧いただければ幸いです。

今回は以上となります。

最後までご覧いただきありがとうございました。