Mensajes de evento de ejemplo de puerta de enlace de seguridad Fortinet FortiGate
Utilice este mensaje de evento de ejemplo como una forma de verificar una integración correcta con JSA.
Mensaje de ejemplo de puerta de enlace de seguridad Fortinet FortiGate cuando se utiliza el syslog o el protocolo syslog de redireccionamiento
Debido al formato, pegue el formato del mensaje en un editor de texto y, luego, elimine cualquier retorno de carro o caracteres de fuente de línea.
Ejemplo 1: el siguiente ejemplo muestra un intento de usar una vulnerabilidad de acceso remoto que afecta a Microsoft Exchange Server. Un atacante remoto usa la vulnerabilidad mediante el envío de un correo electrónico con una solicitud de reunión que contiene datos de calendario vCal e iCal especialmente diseñados. Como resultado, el atacante podría tomar el control de un sistema vulnerable.
<185>date=2011-05-09 time=14:31:07 devname=exampleDeviceName device_id=EXAMPLEDEVID2 log_id=0987654321 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="Example_Profile" src=10.10.10.10 dst=10.20.20.20 src_int=exampleVlan2 dst_int=exampleVlan1 policyid=4 identidx=0 serial=123456 status=detected proto=6 service=smtp vd="exampleDomain" count=1 src_port=50000 dst_port=8080 attack_id=11897 sensor=exampleSensor ref=url.example.test user="N/A" group=Example_Group incident_serialno=1234567890 msg="email: MS.Exchange.Mail.Calender.Buffer.Overflow"
| Nombre del campo JSA |
Nombre de campo de carga destacada |
|---|---|
| ID de evento |
attack_id |
| IP de origen |
Fuente |
| Puerto de origen |
src_port |
| IP de destino |
Dst |
| Puerto de destino |
dst_port |
| Protocolo |
Proto |
| Política |
policyid |
| Tiempo del dispositivo |
fecha + hora |
Ejemplo 2: el siguiente ejemplo muestra que la información de enrutamiento ha cambiado.
date=2020-09-17 time=01:36:20 logid="0100022921" type="event"subtype="system" level="critical" vd="root" eventtime=1600331781108372788 tz="-0700" logdesc="Routing information changed" name="Google_Ping" interface="TEST-INF1" status="down" msg="Static route on interface TEST-INF1 may be removed by health-check Google_Ping. Route: (10.10.10.27->10.10.8.8 ping-down)"
| Nombre del campo JSA |
Nombre de campo de carga destacada |
|---|---|
| ID de evento |
logdesc + nivel |
| Tiempo del dispositivo |
fecha + hora |
Ejemplo 3: El siguiente ejemplo muestra que se permite un firewall.
date=2020-09-10 time=05:01:35 logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1599739296076496743 tz="-0700" srcip=192.168.14.111 srcport=54923 srcintf="internal" srcintfrole="lan" dstip=192.168.14.112 dstport=80 dstintf="wan1" dstintfrole="wan" srccountry="Reserved" dstcountry="Test Country" sessionid=53159 proto=6 action="close" policyid=1 policytype="policy" poluuid="a9b81e06- c6a0-51e8-e434-a05c75d5ad74" policyname="Internet_Access" service="HTTP" trandisp="snat" transip=172.16.72.26 transport=54923 appid=17735 app="Facebook_Apps" appcat="Social.Media" apprisk="medium" applist="default" duration=187 sentbyte=2333 rcvdbyte=2585 sentpkt=42 rcvdpkt=42 vwlid=6 vwlservice="Facebook-Instagram" vwlquality="Seq_num(1 wan1), alive, sla(0x1), cfg_order(0), cost(10), selected" utmaction="allow" countapp=1 sentdelta=1092 rcvddelta=780 utmref=65515-3302
| Nombre del campo JSA |
Nombre de campo de carga destacada |
|---|---|
| ID de evento |
uacción |
| IP de origen |
srcip |
| Puerto de origen |
srcport |
| IP de destino |
dstip |
| Puerto de destino |
dstport |
| IP de origen antes de TDR |
srcip |
| Puerto de origen antes de TDR |
srcport |
| IP de origen de TDR posterior |
transip |
| Puerto de origen de TDR posterior |
Transporte |
| Protocolo |
Proto |
| Política |
policyid |
| Segundos de duración |
Duración |
| Tiempo del dispositivo |
fecha + hora |