fortisiem 4.8.1 user guide · 1.4.2.6.2 aws cloudtrail api configuration ... 1.4.2.8.2 cisco ......
TRANSCRIPT
-
FortiSIEM User GuideVersion 4. .
-
FortiSIEM 4.8.1 User Guide
Page 2
1. FortiSIEM 4.8.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101.1 Release Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.1.1 What's new in Release 4.8.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.1.2 What's new in Release 4.7.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.1.3 What's new in Release 4.7.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.1.4 What's new in Release 4.6.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221.1.5 What's new in Release 4.6.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251.1.6 What's New in Release 4.6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261.1.7 What's new in Release 4.5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331.1.8 What's New in Release 4.5.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351.1.9 What's new in Release 4.4.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431.1.10 What's new in Release 4.4.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441.1.11 What's new in Release 4.4.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461.1.12 What's New in Release 4.4.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491.1.13 What's New in Release 4.3.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561.1.14 What's New in Release 4.3.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591.1.15 What's new in Release 4.2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721.1.16 What's new in Release 4.2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741.1.17 What's new in Release 4.2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
1.2 FortiSIEM Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 891.2.1 Features and Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901.2.2 Supervisors, Workers, Collectors, and Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921.2.3 Deployment Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
1.2.3.1 Enterprise Deployment Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941.2.3.1.1 Standalone Supervisor Deployment for Enterprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951.2.3.1.2 Supervisor and Worker Cluster Deployment for Enterprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961.2.3.1.3 Supervisor with Collectors Deployment for Enterprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 971.2.3.1.4 Matrix of Enterprise Deployment Configuration Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
1.2.3.2 Multi-Tenant Deployment Options for Managed Service Providers or Multiple Organizations . . . . . . . . . . . . 1001.2.3.2.1 Standalone Supervisor Deployment for Multi-Tenancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1011.2.3.2.2 Supervisor and Worker Cluster Deployment for Multi-Tenancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1021.2.3.2.3 Supervisor with Collectors Deployment for Multi-Tenancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031.2.3.2.4 Matrix of Multi-Tenancy Deployment Configuration Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
1.2.4 Export Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1051.3 Installing FortiSIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
1.3.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071.3.1.1 System Performance Estimates and Recommendations for Large Scale Deployments . . . . . . . . . . . . . . . . . 1091.3.1.2 Browser Support and Hardware Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111.3.1.3 Information Prerequisites for All FortiSIEM Installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131.3.1.4 Hypervisor Installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
1.3.1.4.1 Installing in Amazon Web Services (AWS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1151.3.1.4.2 Installing in Linux KVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1241.3.1.4.3 Installing in Microsoft Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1281.3.1.4.4 Installing in VMware ESX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
1.3.1.5 ISO Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1391.3.1.5.1 Installing a Collector on Bare Metal Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
1.3.1.6 General Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1411.3.1.6.1 Configuring Worker Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1421.3.1.6.2 Registering the Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1431.3.1.6.3 Registering the Worker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1441.3.1.6.4 Registering the Collector to the Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
1.3.1.7 Using NFS Storage with AccelOps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1461.3.1.7.1 Configuring NFS Storage for VMware ESX Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1471.3.1.7.2 Using NFS Storage with Amazon Web Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
1.3.1.8 Moving CMDB to a separate Database Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1531.3.1.9 FortiSIEM Windows Agent and Agent Manager Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
1.3.1.9.1 FortiSIEM Windows Agent Pre-installation Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1571.3.1.9.2 Installing FortiSIEM Windows Agent Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1601.3.1.9.3 Installing FortiSIEM Windows Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
1.3.2 Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1641.3.2.1 Upgrade Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1651.3.2.2 Migrating from 3.7.x versions to 4.2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
1.3.2.2.1 Migrating VMware ESX-based Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1681.3.2.2.2 Migrating AWS EC2 Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1821.3.2.2.3 Migrating KVM-based deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1931.3.2.2.4 Migrating Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
1.3.2.3 Migrating the SVN Repository to a Separate Partition on a Local Disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2071.3.2.4 Special pre-upgrade instruction for 4.3.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2081.3.2.5 Special pre-upgrade instruction for 4.6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2091.3.2.6 Enabling TLS 1.2 Patch On Old Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2101.3.2.7 Upgrading to 4.6.3 for TLS 1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2111.3.2.8 Setting Up the Image Server for Collector Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
-
FortiSIEM 4.8.1 User Guide
Page 3
1.3.2.9 Upgrading a FortiSIEM Single Node Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2141.3.2.10 Upgrading a FortiSIEM Cluster Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2151.3.2.11 Upgrading FortiSIEM Windows Agent and Agent Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2171.3.2.12 Automatic OS Upgrades during Reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
1.4 Configuring FortiSIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2211.4.1 Initial System Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
1.4.1.1 Setting Up the Email Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2231.4.1.2 Setting Up Routing Information for Reports and Incident Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
1.4.1.2.1 Setting Up Email Alert Routing for Scheduled Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2251.4.1.2.2 Setting Up SNMP Traps for Incident Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2261.4.1.2.3 Setting Up XML Message Routing for Incident Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2271.4.1.2.4 Setting Up Routing for Remedy Tickets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
1.4.1.3 Setting Up User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2291.4.1.3.1 Default Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2301.4.1.3.2 Creating Custom User Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
1.4.1.4 Adding Users for Enterprise Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2321.4.1.4.1 Setting Up External Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2331.4.1.4.2 Adding a Single User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2351.4.1.4.3 Adding Users from Active Directory via LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2361.4.1.4.4 Adding Users from Okta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2371.4.1.4.5 Adding 2-factor Authentication via Duo Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
1.4.1.5 Managing Organizations for Multi-Tenant Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2401.4.1.5.1 Deleting Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2411.4.1.5.2 Dynamic Distribution of Events per Second (EPS) across Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . 2421.4.1.5.3 How Devices are Added to Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
1.4.1.6 Adding Users to Multi-Tenant Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2441.4.1.6.1 Adding Users to Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2451.4.1.6.2 Adding Super/Global Users to Organizations with Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2461.4.1.6.3 Adding Super/Global Users to Organizations without Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
1.4.2 Configuring External Systems for Discovery, Monitoring and Log Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2481.4.2.1 Ports Used by FortiSIEM for Discovery and Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2521.4.2.2 Supported Devices and Applications by Vendor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2531.4.2.3 Configuring FortiSIEM Windows Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2671.4.2.4 Configuring Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
1.4.2.4.1 Application Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2811.4.2.4.2 Authentication Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3101.4.2.4.3 Database Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3231.4.2.4.4 DHCP and DNS Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3581.4.2.4.5 Directory Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3731.4.2.4.6 Document Management Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3771.4.2.4.7 Mail Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3811.4.2.4.8 Management Server/Appliance Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3861.4.2.4.9 Remote Desktop Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3921.4.2.4.10 Unified Communication Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3961.4.2.4.11 Web Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
1.4.2.5 Configuring Blade Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4281.4.2.5.1 Cisco UCS Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4291.4.2.5.2 HP BladeSystem Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
1.4.2.6 Configuring Cloud Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4331.4.2.6.1 AWS Access Key IAM Permissions and IAM Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4341.4.2.6.2 AWS CloudTrail API Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4361.4.2.6.3 AWS EC2 CloudWatch API Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4391.4.2.6.4 AWS RDS Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4411.4.2.6.5 Box.com Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4431.4.2.6.6 Cisco FireAMP Cloud Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4471.4.2.6.7 Google Apps Audit Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4481.4.2.6.8 Microsoft Azure AuditTrail Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4511.4.2.6.9 Microsoft Office365 Audit Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4531.4.2.6.10 Okta Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4581.4.2.6.11 Salesforce CRM Audit Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
1.4.2.7 Configuring Console Access Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4611.4.2.7.1 Lantronix SLC Console Manager Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
1.4.2.8 Configuring End point Security Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4631.4.2.8.1 Bit9 Security Platform Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4641.4.2.8.2 Cisco Security Agent (CSA) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4651.4.2.8.3 ESET NOD32 Anti-Virus Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4671.4.2.8.4 MalwareBytes Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4681.4.2.8.5 McAfee ePolicy Orchestrator (ePO) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4691.4.2.8.6 Sophos Endpoint Security and Control Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4711.4.2.8.7 Symantec Endpoint Protection Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4721.4.2.8.8 Trend Micro Intrusion Defense Firewall (IDF) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4761.4.2.8.9 Trend Micro OfficeScan Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
-
FortiSIEM 4.8.1 User Guide
Page 4
1.4.2.9 Configuring Environmental Sensors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4781.4.2.9.1 APC Netbotz Environmental Monitor Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4791.4.2.9.2 APC UPS Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4821.4.2.9.3 Generic UPS Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4841.4.2.9.4 Liebert FPC Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4851.4.2.9.5 Liebert HVAC Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4861.4.2.9.6 Liebert UPS Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
1.4.2.10 Configuring Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4881.4.2.10.1 Check Point FireWall-1 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4891.4.2.10.2 Check Point Provider-1 Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4911.4.2.10.3 Check Point VSX Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5001.4.2.10.4 Cisco Adaptive Security Appliance (ASA) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5021.4.2.10.5 Dell SonicWALL Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5071.4.2.10.6 Fortinet FortiGate Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5091.4.2.10.7 Juniper Networks SSG Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5121.4.2.10.8 McAfee Firewall Enterprise (Sidewinder) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5151.4.2.10.9 Palo Alto Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5161.4.2.10.10 Sophos UTM Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5191.4.2.10.11 WatchGuard Firebox Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
1.4.2.11 Configuring Load Balancers and Application Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5211.4.2.11.1 Brocade ServerIron ADX Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5221.4.2.11.2 Citrix Netscaler Application Delivery Controller (ADC) Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 5241.4.2.11.3 F5 Networks Application Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5251.4.2.11.4 F5 Networks Local Traffic Manager Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5271.4.2.11.5 F5 Networks Web Accelerator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5291.4.2.11.6 Qualys Web Application Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
1.4.2.12 Configuring Network Compliance Management Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5321.4.2.12.1 Cisco Network Compliance Manager Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
1.4.2.13 Configuring Network Intrusion Protection Systems (IPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5351.4.2.13.1 AirTight Networks SpectraGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5361.4.2.13.2 Cisco FireSIGHT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5371.4.2.13.3 Cisco Intrusion Protection System Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5411.4.2.13.4 Cylance Protect Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5441.4.2.13.5 Cyphort Cortex Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5451.4.2.13.6 FireEye Malware Protection System (MPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5461.4.2.13.7 FortiDDoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5471.4.2.13.8 Fortinet FortiSandbox Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5481.4.2.13.9 IBM Internet Security Series Proventia Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5491.4.2.13.10 Juniper DDoS Secure Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5521.4.2.13.11 Juniper Networks IDP Series Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5531.4.2.13.12 McAfee IntruShield Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5541.4.2.13.13 McAfee Stonesoft IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5561.4.2.13.14 Motorola AirDefense Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5571.4.2.13.15 Snort Intrusion Protection System Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5581.4.2.13.16 Sourcefire 3D and Defense Center Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5631.4.2.13.17 TippingPoint Intrusion Protection System Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
1.4.2.14 Configuring Routers and Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5681.4.2.14.1 Alcatel TiMOS and AOS Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5691.4.2.14.2 Arista Router and Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5701.4.2.14.3 Brocade NetIron CER Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5721.4.2.14.4 Cisco 300 Series Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5731.4.2.14.5 Cisco IOS Router and Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5741.4.2.14.6 Cisco Meraki Cloud Controller and Network Devices Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 5871.4.2.14.7 Cisco NX-OS Router and Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5891.4.2.14.8 Cisco ONS Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5941.4.2.14.9 Dell Force10 Router and Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5951.4.2.14.10 Dell NSeries Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5971.4.2.14.11 Dell PowerConnect Switch and Router Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5991.4.2.14.12 Foundry Networks IronWare Router and Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6011.4.2.14.13 HP/3Com ComWare Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6041.4.2.14.14 HP ProCurve Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6061.4.2.14.15 HP Value Series (19xx) and HP 3Com (29xx) Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 6081.4.2.14.16 Juniper Networks JunOS Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6101.4.2.14.17 Mikrotek Router Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6131.4.2.14.18 Nortel ERS and Passport Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
1.4.2.15 Configuring Security Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6151.4.2.15.1 Barracuda Networks Spam Firewall Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6161.4.2.15.2 Blue Coat Web Proxy Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6181.4.2.15.3 Cisco IronPort Mail Gateway Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6221.4.2.15.4 Cisco IronPort Web Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6241.4.2.15.5 McAfee Web Gateway Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6261.4.2.15.6 Microsoft ISA Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
-
FortiSIEM 4.8.1 User Guide
Page 5
1.4.2.15.7 Squid Web Proxy Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6311.4.2.15.8 Websense Web Filter Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6341.4.2.15.9 Fortinet FortiWeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6351.4.2.15.10 Fortinet FortiMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
1.4.2.16 Configuring Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6371.4.2.16.1 HP UX Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6381.4.2.16.2 IBM AIX Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6401.4.2.16.3 IBM OS400 Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6421.4.2.16.4 Linux Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6441.4.2.16.5 Microsoft Windows Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6491.4.2.16.6 Sun Solaris Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
1.4.2.17 Configuring Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6571.4.2.17.1 Brocade SAN Switch Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6581.4.2.17.2 Dell Compellant Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6591.4.2.17.3 Dell EqualLogic Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6611.4.2.17.4 EMC Clarion Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6631.4.2.17.5 EMC Isilon Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6681.4.2.17.6 EMC VNX Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6701.4.2.17.7 NetApp Filer Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6751.4.2.17.8 Nimble Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6771.4.2.17.9 Nutanix Storage Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
1.4.2.18 Configuring Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6831.4.2.18.1 HyperV Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6841.4.2.18.2 VMware ESX Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688
1.4.2.19 Configuring VPN Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6891.4.2.19.1 Cisco VPN 3000 Gateway Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6901.4.2.19.2 Juniper Networks SSL VPN Gateway Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6921.4.2.19.3 Microsoft PPTP VPN Gateway Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6941.4.2.19.4 PulseSecure Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
1.4.2.20 Configuring Vulnerability Scanners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6961.4.2.20.1 McAfee Foundstone Vulnerability Scanner Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6971.4.2.20.2 Nessus Vulnerability Scanner Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6981.4.2.20.3 Qualys Vulnerability Scanner Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6991.4.2.20.4 Rapid7 NeXpose Vulnerability Scanner Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
1.4.2.21 Configuring WAN Accelerators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7011.4.2.21.1 Cisco Wide Area Application Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7021.4.2.21.2 Riverbed SteelHead WAN Accelerator Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
1.4.2.22 Configuring Wireless LANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7061.4.2.22.1 Aruba Networks Wireless LAN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7071.4.2.22.2 Cisco Wireless LAN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7091.4.2.22.3 Motorola WiNG WLAN AP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7121.4.2.22.4 Ruckus Wireless LAN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
1.4.2.23 Using Virtual IPs to Access Devices in Clustered Environments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7151.4.2.24 Configuring Syslog over TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
1.4.3 Discovering Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7171.4.3.1 Discovery Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
1.4.3.1.1 Setting Device Location Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7201.4.3.2 Discovery for Multi-Tenant Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7211.4.3.3 Setting up CyberArk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7221.4.3.4 Setting Access Credentials for Device Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7241.4.3.5 Discovering Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7261.4.3.6 Discovering Amazon Web Services (AWS) Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7271.4.3.7 Discovering Microsoft Azure Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7281.4.3.8 Approving Newly Discovered Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7301.4.3.9 Inspecting Event Pulling Methods for Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7311.4.3.10 Inspecting Changes Since Last Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7321.4.3.11 Discovery Range Definition Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7331.4.3.12 Scheduling a Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7341.4.3.13 Adding Devices to the CMDB Outside of Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7351.4.3.14 Decommissioning a device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7361.4.3.15 Creating Dynamic CMDB Group Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
1.4.4 Configuring Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7381.4.4.1 Device Monitoring Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
1.4.4.1.1 Adding Important Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7401.4.4.1.2 Adding Important Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7411.4.4.1.3 Adding Important Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7421.4.4.1.4 Excluding Disks from Disk Capacity Utilization Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
1.4.4.2 Managing Monitoring of System and Application Metrics for Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7441.4.4.3 Setting Up Synthetic Transaction Monitoring Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
1.4.4.3.1 Protocol Settings for Synthetic Transaction Monitoring Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7461.4.4.3.2 Adding a Synthetic Monitoring Test to a Business Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
1.4.5 Creating Business/IT Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
-
FortiSIEM 4.8.1 User Guide
Page 6
1.4.6 Data Update Subscription Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7511.4.6.1 Data Update Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7521.4.6.2 Configuring Data Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
1.4.7 Creating Custom Parsers and Monitors for Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7551.4.7.1 Creating Event Attributes, Event Types, and Device Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
1.4.7.1.1 Creating Device and Application Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7571.4.7.1.2 Creating Event Attribute Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7581.4.7.1.3 Creating Event Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
1.4.7.2 Custom Parsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7601.4.7.2.1 Event Parser XML Specification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7611.4.7.2.2 Creating a Custom Parser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7771.4.7.2.3 Deleting or Disabling a Parser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7781.4.7.2.4 Exporting a Custom Parser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7791.4.7.2.5 Importing a Custom Parser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7801.4.7.2.6 Parser Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
1.4.7.3 Custom Performance Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7901.4.7.3.1 Creating a Custom Performance Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7911.4.7.3.2 Monitoring Protocol Configuration Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7931.4.7.3.3 Mapping Monitoring Protocol Objects to Event Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7991.4.7.3.4 Exporting a Custom Performance Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8001.4.7.3.5 Importing a Custom Performance Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8011.4.7.3.6 Examples of Custom Performance Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
1.4.7.4 Custom Command Output Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8201.4.7.4.1 Creating a Custom SSH Command Output Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8211.4.7.4.2 Creating a Custom Multi-Line SSH Command Output Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8241.4.7.4.3 Creating a Custom WINEXE Command Output Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
1.4.7.5 Custom File Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8331.4.7.5.1 Agent-less File-Integrity Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8341.4.7.5.2 Agent-less Target File Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838
1.4.7.6 Custom Configuration Change Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8411.4.8 Configuring Event Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843
1.4.8.1 Event Dropping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8441.4.8.2 Event Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8451.4.8.3 Event Organization Mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8461.4.8.4 Multi-line Syslog Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
1.5 Managing FortiSIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8491.5.1 General System Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850
1.5.1.1 FortiSIEM Backend Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8511.5.1.2 Administrator Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8521.5.1.3 Managing User Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
1.5.1.3.1 Managing Logged In Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8541.5.1.3.2 Managing Locked Out Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8551.5.1.3.3 Managing Active User Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
1.5.1.4 Creating Maintenance Window for Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8571.5.1.5 Creating Maintenance Window for Synthetic Transaction Monitoring jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . 8581.5.1.6 Creating Reverse SSH Tunnels to Debug Collector Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
1.5.1.6.1 Auditing the Creation and Deletion of SSH Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8611.5.1.6.2 Creating a Remote Tunnel to a Device Monitored by a Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8621.5.1.6.3 Managing Remote Tunnels to Collector Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
1.5.1.7 Managing System Date Format and Logos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8641.5.1.8 Viewing Cloud Health and System Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8651.5.1.9 Viewing Collector Health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8661.5.1.10 Viewing License Information and Adding Nodes to a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8671.5.1.11 Using Beaconing to Communicate with AccelOps Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8681.5.1.12 AccelOps Event Categories and Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8701.5.1.13 Changing Dashboard Theme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8711.5.1.14 Installing OS Security Patches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872
1.5.2 Working with the Configuration Management Database (CMDB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8731.5.2.1 CMDB Categorization of Devices and Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8741.5.2.2 Overview of the CMDB User Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8771.5.2.3 Managing CMDB Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882
1.5.2.3.1 Anonymity Networks and Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8831.5.2.3.2 Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8861.5.2.3.3 Malware Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8871.5.2.3.4 Malware IPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8931.5.2.3.5 Malware URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8991.5.2.3.6 Malware Hashes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9041.5.2.3.7 Malware Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9101.5.2.3.8 Country Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9111.5.2.3.9 Creating CMDB Groups and Adding Objects to Them . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9121.5.2.3.10 Default Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9131.5.2.3.11 Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914
-
FortiSIEM 4.8.1 User Guide
Page 7
1.5.2.3.12 Event Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9151.5.2.3.13 Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9161.5.2.3.14 Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9171.5.2.3.15 User Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9181.5.2.3.16 Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9191.5.2.3.17 Watch Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920
1.5.2.4 Reporting on CMDB Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9301.5.2.4.1 CMDB Report Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9311.5.2.4.2 Running, Saving, and Exporting a CMDB Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9331.5.2.4.3 Creating and Modifying CMDB Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9341.5.2.4.4 Importing and Exporting CMDB Report Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935
1.5.3 Creating Event Database Archives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9371.5.3.1 Managing Event Data Archive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9391.5.3.2 Managing Online Event Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9401.5.3.3 Restoring Archived Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9411.5.3.4 Validating Log Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
1.5.4 Integrating with External CMDB and Helpdesk Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9431.5.4.1 FortiSIEM Integration Framework Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9441.5.4.2 External Helpdesk System Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945
1.5.4.2.1 Creating Inbound Policies for Updating Ticket Status from External Ticketing Systems . . . . . . . . . . . . 9461.5.4.2.2 Creating Outbound Policies for Creating Tickets in External Helpdesk Systems . . . . . . . . . . . . . . . . . 9471.5.4.2.3 Searching for Tickets from or to External Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 949
1.5.4.3 External CMDB Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9511.5.4.3.1 Creating Inbound Policies for Importing Devices from an External System . . . . . . . . . . . . . . . . . . . . . 9521.5.4.3.2 Creating Outbound Policies for Exporting CMDB Devices to External Helpdesk Systems . . . . . . . . . . 954
1.5.4.4 Setting Schedules for Receiving Information from External Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9561.5.4.5 Using the AccelOps API to Integrate with External Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9571.5.4.6 Exporting Events to External Systems via Kafka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 958
1.5.5 Backing Up and Restoring FortiSIEM Directories and Databases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9591.5.5.1 Backing Up and Restoring SVN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9601.5.5.2 Backing Up and Restoring the CMDB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9611.5.5.3 Backing Up and Restoring the Event Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 963
1.6 Monitoring Operations with FortiSIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9651.6.1 Dashboards - Flash version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966
1.6.1.1 Dashboard Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9671.6.1.1.1 Summary Dashboard User Interface Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9681.6.1.1.2 VM Dashboard User Interface Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9701.6.1.1.3 Widget Dashboard User Interface Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9721.6.1.1.4 Network Topology View of Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9741.6.1.1.5 How Values in Dashboard Columns are Derived . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9781.6.1.1.6 Using the Analysis Menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 980
1.6.1.2 Customizing Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9821.6.1.2.1 Adding Custom Columns to Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9831.6.1.2.2 Adding Widgets to Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9851.6.1.2.3 Creating a Customized Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9861.6.1.2.4 Setting a Dashboard to Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987
1.6.1.3 Creating Dashboard Slideshow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9881.6.1.4 Exporting and Importing Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9891.6.1.5 Link Usage Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 990
1.6.2 Dashboards - HTML5 version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9911.6.2.1 Viewing System Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9921.6.2.2 Creating New Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9931.6.2.3 Deleting Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9941.6.2.4 Modifying Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9951.6.2.5 Sharing Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9961.6.2.6 Importing and Export Widget Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 997
1.6.3 Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9981.6.3.1 Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1000
1.6.3.1.1 Historical Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10011.6.3.1.2 Real Time Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10271.6.3.1.3 Structured Search Operators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10331.6.3.1.4 Selecting Attributes for Structured Searches, Display Fields, and Rules . . . . . . . . . . . . . . . . . . . . . . . 10341.6.3.1.5 Using Expressions in Structured Searches and Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10371.6.3.1.6 Keywords and Operators for Simple Searches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10401.6.3.1.7 Using Geolocation Attributes in Searches and Search Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10411.6.3.1.8 Creating Filter Criteria and Display Column Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1044
1.6.3.2 Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10451.6.3.2.1 Creating Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10461.6.3.2.2 Activating and Deactivating Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10621.6.3.2.3 Adding a Watch List to a Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10631.6.3.2.4 Cloning a Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10641.6.3.2.5 Running Historical Searches to Test Rule Sub Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1065
-
FortiSIEM 4.8.1 User Guide
Page 8
1.6.3.2.6 Setting Rules for Event Dropping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10661.6.3.2.7 Setting Rules for Event Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10671.6.3.2.8 Setting Global and Per-Device Threshold Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10681.6.3.2.9 Using Geolocation Attributes in Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10701.6.3.2.10 Using Watch Lists as Conditions in Rules and Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10711.6.3.2.11 Viewing Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1072
1.6.3.3 Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10731.6.3.3.1 Baseline Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10741.6.3.3.2 Creating a Report or Baseline Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10781.6.3.3.3 Identity and Location Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10791.6.3.3.4 Report Bundles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10821.6.3.3.5 Running System and User-Defined Reports and Baseline Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . 10851.6.3.3.6 Scheduling Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10861.6.3.3.7 Viewing Available Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
1.6.3.4 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10881.6.3.4.1 Creating Audit Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10891.6.3.4.2 Running an Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10901.6.3.4.3 Exporting Audit Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10911.6.3.4.4 Scheduling an Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092
1.6.3.5 Visual Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10931.6.3.5.1 AccelOps Visual Analytics Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10941.6.3.5.2 Installation and Configuration of AccelOps Visual Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10961.6.3.5.3 Working with the Report Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11051.6.3.5.4 Installing and Configuring Tableau Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11211.6.3.5.5 Creating and Managing Workbooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1122
1.6.3.6 Real Time Performance Probe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11351.6.4 Incidents - Flash version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1137
1.6.4.1 Viewing and Searching Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11381.6.4.1.1 List View of Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11391.6.4.1.2 Device Risk View of Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11451.6.4.1.3 Calendar View of Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11461.6.4.1.4 Fishbone View of Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1147
1.6.4.2 Incident Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11481.6.4.2.1 Creating an Incident Notification Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11491.6.4.2.2 Sending Email and SMS Notifications for Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11501.6.4.2.3 Setting Scripts as Notification Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11531.6.4.2.4 Viewing Incident Notification History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1160
1.6.4.3 Creating Tickets In FortiSIEM In-built Ticketing System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11611.6.4.3.1 Configuring Remedy to Accept Tickets from AccelOps Incident Notifications . . . . . . . . . . . . . . . . . . . . 11621.6.4.3.2 Ticket Related Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164
1.6.4.4 Creating Tickets in External Ticketing System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11661.6.4.5 Using Incidents in Searches and Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1167
1.6.4.5.1 Creating an Historical Search from an Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11681.6.4.5.2 Creating a Real Time Search from an Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11691.6.4.5.3 Editing Rules from Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1170
1.6.5 Incidents - HTML5 version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11711.6.5.1 Incident Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11721.6.5.2 Viewing Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11731.6.5.3 Searching Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11751.6.5.4 Managing Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1176
1.6.6 Device Risk Score Computation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11771.6.7 Miscellaneous Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1178
1.6.7.1 Exporting Events to Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11791.6.7.2 Dynamic Population of Location, User, and and Geolocation Information for Events . . . . . . . . . . . . . . . . . . . 11801.6.7.3 Monitoring Custom Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11821.6.7.4 The IPS Vulnerability Map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1183
1.6.7.4.1 Adding Entries to the IPS Vulnerabilities Map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11841.7 Troubleshooting FortiSIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1185
1.7.1 System health checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11861.7.2 Supervisor health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11871.7.3 Worker health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11881.7.4 Collector health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11891.7.5 GUI Login Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11901.7.6 Windows Agent Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11911.7.7 Incidents not triggering or delayed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11921.7.8 Discovery issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11931.7.9 Dashboard issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11941.7.10 Performance Monitor Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11951.7.11 Event Collection Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11961.7.12 Upgrade issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11971.7.13 Device Support Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1198
1.8 Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
-
FortiSIEM 4.8.1 User Guide
Page 9
1.8.1 Event Dictionary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12001.8.1.1 Event Attribute Master List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12011.8.1.2 AccelOps Generated Event Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209
1.8.1.2.1 System Performance Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12101.8.1.2.2 Availability Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12171.8.1.2.3 Hardware Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12201.8.1.2.4 VMware Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12271.8.1.2.5 Application Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12391.8.1.2.6 Network Flow Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12521.8.1.2.7 Security Information Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12531.8.1.2.8 User Password Monitoring Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1254
1.8.2 Scenario-based Rules and Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12581.8.2.1 Change management related . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12591.8.2.2 Compliance related . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12611.8.2.3 Performance related . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12681.8.2.4 Security Related Rules and Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12711.8.2.5 Availability Related Rules and Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277
1.8.3 Integration API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12791.8.3.1 CMDB APIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1280
1.8.3.1.1 Add or Update an Organization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12811.8.3.1.2 Create or Update Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12861.8.3.1.3 Discover Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12891.8.3.1.4 Get CMDB Device Info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12931.8.3.1.5 Get the List of Monitored Devices and Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13031.8.3.1.6 Get the List of Monitored Organizations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13041.8.3.1.7 Update Device Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13071.8.3.1.8 Add, Update or Delete Device Maintenance Schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1310
1.8.3.2 Events and Report Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13141.8.3.3 Incident Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1316
1.8.3.3.1 Formats for Incident Notifications over Email, HTTPS, SNMP Trap, and API . . . . . . . . . . . . . . . . . . . . 13171.8.3.3.2 Using the Notification API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1320
1.8.3.4 External Help desk / CMDB Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13221.8.3.5 External Threat Intelligence Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13231.8.3.6 License Registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1324
1.9 How-to articles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13261.9.1 Common user errors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1327
-
FortiSIEM 4.8.1 User Guide
Page 10
FortiSIEM 4.8.1Welcome to FortiSIEM product documentation.
Feel free to comment on any of the topics in this wiki and leave us your feedback Can't find what you're looking for here? Check out the , where you can also file support ticketsCustomer Support PortalView or download the 4.8.1 documentation as a PDF.
https://support.fortinet.comhttp://docs.fortinet.com/d/fortisiem-4.8.1-user-guide
-
FortiSIEM 4.8.1 User Guide
Page 11
Release Notes
-
FortiSIEM 4.8.1 User Guide
Page 12
What's new in Release 4.8.1
FeaturesHTML5 based GUI for dashboardPolicy based event retentionVulnerability correlation and device risk scoringScalable windows agent architecture enabling agent sending events to collectors (Windows Agent/Agent Manager 2.1)Dynamic CMDB groupsDisplay CMDB reports in dashboardMulti-line syslog handlingCustom configuration change monitoringSTIX/TAXII support for external threat intelligence
EnhancementsAbility to monitor a subset of interfaces and processesAbility to flag a WAN interfaceAbility to define per-process CPU, Memory thresholdsAbility to include attachments in a ticketAllow exceptions for merging based on hardware serial numbers
Device / Application SupportBug Fixes / EnhancementsCurrent Open Issues
Features
HTML5 based GUI for dashboard
You can logon to HTML5 version of Dashboard page using the link https:///phoenix/html.
For details see Dashboards - HTML5 version.
Policy based event retention
Currently, the on-line event database storage is managed in a FCFS basis. When the event database gets full, oldest events are purged orarchived. This release enables you to set event retention policies based on Customer (Service Provider case), Reporting Devices and EventTypes. For example, performance metrics and flow events should be kept for 30 days but server logs for 1 year.
This release also provides visibility into which reporting Device and Event Type is consuming most storage on a per-day basis. This enablesadministrators to write better data retention policies.
Note that this feature will consume significant compute and storage I/O resources. Since events are stored in a compressed manner, these eventshave to be first uncompressed, then filtered according to the data retention policies and finally the logs that remain have to be re-indexed. It isrecommended that you create these policies after some thought and change infrequently. Run the reports to monitor the performance of retentionpolicy execution.
For details, see .Managing Online Event Data.
Vulnerability correlation and device risk scoring
In this release, FortiSIEM assigns a risk score (0-100) to a device by combining Asset Weight, Vulnerabilities found on that device, Security andNon-security incident counts and severities. Users can modify certain factors to tailor the risk computation for their environment. A view is createdthat shows the devices ranked by risk scores along with a timeline view of the incidents that resulted in that score. The risk score is computedhourly and the trend is presented in the view.
For details, see and . Risk computation is detailed here for Flash version here for HTML5 version here.
Scalable windows agent architecture enabling agent sending events to collectors (Windows
Agent/Agent Manager 2.1)
FortiSIEM Windows agents provides efficient log collection and other important functionalities such as file integrity monitoring, registry andinstalled software change monitoring, removable media insertion and write activity etc. In previous releases, a set of Windows agents wereassociated with a single Windows Agent Manager (WAM)