Con Fortinet Security Fabric nos permite interconectar nuestros equipos para reunir, analizar y responder a eventos de seguridad que ocurran en nuestra red en tiempo real.
Hay que habilitar FortiTelemetry en todos los interfaces que conecten con otros dispositivos fortinet y en el interfaz de la central que conecta a internet
Para habilitar la sincronización en el fortigate destino
config sys csf set configuration-sync default end
Si queremos que una oficina no tome automaticamente los valores, sino configurarlos manualmente ejecutaremos
config system csf
set configuration-sync local
end
Para configurar los valores iremos a Security Fabric > Settings y podremos elegir manualmente dichos parámetros
https://fortixpert.blogspot.com/2019/05/fortios-62-security-fabric-over-ipsec.html
Hay que asignarles una ip a los extremos del túnel ipsec, activar el security fabric en los interfaces del túnel y permitir el tráfico desde las ip de origen del túnel ipsec al fortianalyzer .
Tenemos que tener en cuenta que como ip de origen va a usar la que tenga el túnel ipsec
diag debug reset diag debug app csf -1 diag debug enable
Si tenemos varios equipos en el Security Fabric y vemos que un equipo no está enviando los logs al fortianalyzer, debemos de ejecutar en el fortigate que no los envía los siguientes comandos, para desactivar y volver a activar la sincronización
config system csf
set configuration-sync local
end
Esperamos a que se sincronice el cluster y volvemos a poner la conexión por defecto
config system csf
set configuration-sync default
end