FortiGate FAQ - 管理 / 運用

AntiVirusやIPSの検知結果を、SNMP Trap や Email で通知できますか
ID
 : 
FG-75-0060
公開日
 : 
2019/05/27
更新日
 : 
2023/02/07
OS Ver
 : 
6.2, 6.4, 7.0, 7.2
AntiVirusやIPSの検知結果は、Syslogの他、SNMP TrapやEmailで通知することができます。

・SNMP Trap 通知
 SNMP Trapでは、AntiVirusとIPSの検知結果はそれぞれ以下のOIDで通知されます。

検知機能
SNMP Trap名
OID
AntiVirus
gTrapAvVirus
1.3.6.1.4.1.12356.101.2.0.601
IPS
fgTrapIpsSignature
1.3.6.1.4.1.12356.101.2.0.503

 尚、SNMP Trapで通知する場合、SNMP Trap のイベント設定でAntiVirus、IPSの攻撃検知イベントを有効(デフォルト)にしている必要があります。

 CLIの場合は、show full-configuration system snmp community コマンドを実行し、下図赤字部分の通り、Trapを送信する対象のコミュニティ設定の set events 項で ips-signature と av-virus が表示されている必要があります。
FGT60EXXXXXXXXXX # show full-configuration system snmp community config system snmp community edit 1 set name "public" set status enable config hosts edit 1 set source-ip 0.0.0.0 set ip 192.168.1.182 255.255.255.255 set ha-direct disable set host-type any next end (中略) set trap-v1-status enable set trap-v1-lport 162 set trap-v1-rport 162 set trap-v2c-status enable set trap-v2c-lport 162 set trap-v2c-rport 162 set events cpu-high (中略) ips-signature ips-anomaly av-virus av-oversize av-pattern (以下略) next end

 GUIの場合は、左メニューの System 配下の SNMP のページを表示し、対象のコミュニティを Edit ボタンで表示します。ここで表示されるSNMP Events項で、IPS detected an attack 及び AV detected virus 項のチェックがそれぞれ入っている必要があります。
 ※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。

・Email 通知
 Email による通知では、SMTPサーバの設定と送信するイベントを設定します。
 先ず、左メニューの System 配下の Settings ページ下部にある、Email Service 項に、SMTPサーバを登録します。
 ※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。
 続いて、CLIから送信するイベントを設定します。
 config alertemail setting 項でusername, mailto1 に送信元メールアドレス、送信先メールアドレスを登録します。
 また、IPS-logs と antivirus-logs を有効にし、IPSとAVの検知結果を送信する設定を行います。
FGT60EXXXXXXXXXX # config alertemail setting set username "送信元メールアドレス" set mailto1 "送信先メールアドレス" set IPS-logs enable set antivirus-logs enable end

通知されたメールは、スパムメール、フィッシングメール等に誤分類されないよう、メールサーバ側の設定も必要に応じて確認、設定ください。