服务器

您可以在系统中设置 SMTP 服务器和 Syslog 服务器,以启用要通过电子邮件发送和/或在 SIEM 上记录的事件通知。您也可以设置 FortiGate 防火墙,以根据 OT Security 网络事件向 FortiGate 发送防火墙策略建议。

SMTP 服务器

为了能够通过电子邮件向相关方发送事件通知,需要在系统中设置 SMTP 服务器。如果不设置 SMTP 服务器,那么无论事件何时生成,系统都无法发出电子邮件通知。在任何情况下都可以在管理控制台(用户界面)的“事件”屏幕上查看所有事件。

若要设置 SMTP 服务器,请执行以下操作:

  1. 转至“本地设置”>“服务器”>“SMTP 服务器”。

  2. 单击“添加 SMTP 服务器”。

    此时会出现“SMTP 服务器”配置窗口。

  3. 在“服务器名称”框中,输入要用于发送电子邮件通知的 SMTP 服务器的名称。

  4. 在“主机名\IP”框中,输入 SMTP 服务器的主机名或 IP 地址。

  5. 在“端口”框中,输入 SMTP 服务器将在其上监听事件的端口号(默认值:25)。

  6. 在“发件人电子邮件地址”框中,输入显示为事件通知电子邮件发件人的电子邮件地址。

  7. (可选)在“用户名”和“密码”框中,输入将用于访问 SMTP 服务器的用户名和密码。

  8. 如要发送测试电子邮件以验证配置是否成功,请点击“发送测试电子邮件”,然后输入要发送到的电子邮件地址,并检查收件箱是否收到了电子邮件。如果电子邮件未送达,则故障排除以发现问题的原因并予以修正。

  9. 单击“保存”。

    您可以通过重复此过程来设置其他 SMTP 服务器。

Syslog 服务器

为了在外部服务器上启用日志事件收集,您需要在系统中设置 Syslog 服务器。如果不想设置 Syslog 服务器,则事件日志将仅保存在 OT Security 平台上。

若要设置 Syslog 服务器,请执行以下操作:

  1. 转至“本地设置”>“服务器”>“Syslog 服务器”。

  2. 单击“+ 添加 Syslog 服务器”。此时会出现“Syslog 服务器”配置窗口。

  3. 在“服务器名称”框中,输入要用于记录系统事件的 Syslog 服务器的名称。

  4. 在“主机名\IP”框中,输入 Syslog 服务器的主机名或 IP 地址。

  5. 在“端口”框中,输入要向该 Syslog 服务器发送事件的服务器上的端口号。默认:514

  6. 在“传输”下拉框中,选择要使用的传输协议。选项为 TCP 或 UDP。

  7. 如要发送测试消息以验证配置是否成功,请单击“发送测试消息”,然后检查消息是否送达。如果消息未送达,则故障排除以发现问题的原因并予以修正。

  8. (可选)选择“每 10 分 0 秒发送一次保持活动消息”选项,可频繁检查连接状态。

  9. (可选)对于 TCP 系统日志,选择“允许 syslog 消息缓存”选项,可在连接中断时缓存事件,并在连接恢复时发送这些事件。

    注意:UDP syslog 消息不具备任何状态感知能力,如果连接中断,这些消息可能会丢失。
  10. 单击“保存”。

    您可以通过重复此过程来设置其他 Syslog 服务器。

FortiGate 防火墙

若要设置 FortiGate 服务器,请执行以下操作:

  1. 前往“本地设置”>“服务器”>“FortiGate 防火墙”。

  2. 点击“添加防火墙”。

    此时会显示“添加 FortiGate 防火墙”配置窗口。

  3. 在“服务器名称”框中,输入要使用的 FortiGate 服务器的名称。

  4. 在“主机名\IP”框中,输入 FortiGate 服务器的主机名或 IP 地址。

  5. 在“API 密钥”框中,输入从 FortiGate 生成的“API 标记”。

    注意:有关生成 FortiGate API 标记的说明,请参阅以下页面:https://registry.terraform.io/providers/fortinetdev/fortios/latest/docs/guides/fgt_token。
  6. 单击“添加”。

    OT Security 会创建 FortiGate 防火墙服务器。

    注意:对于源地址(确保仅可通过受信任的主机使用 API 标记所需的地址),请使用 OT Security 装置 IP 地址。

    OT Security 创建管理员配置文件时,确保根据以下设置应用访问权限: