FortiCloud:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 360: Zeile 360:
Die automatische Patch-Funktion der Cloud hat momentan eine Pufferzeit von 90 Tagen (Empfehlung des Rechtsteams).  
Die automatische Patch-Funktion der Cloud hat momentan eine Pufferzeit von 90 Tagen (Empfehlung des Rechtsteams).  
Das heisst, dass Änderungen an der Auto-Patch-Einstellung in der Cloud erst nach dieser Zeitspanne greifen.
Das heisst, dass Änderungen an der Auto-Patch-Einstellung in der Cloud erst nach dieser Zeitspanne greifen.
----
----
<small>add 30.10.2024 - 4Tinu</small>
<small>add 30.10.2024 - 4Tinu</small>
<!--Referenz: https://community.fortinet.com/t5/FortiGate-Cloud/Technical-Tip-Understanding-Automatic-Patch-Upgrade-FortiGate/ta-p/316549 -->
<!--Referenz: https://community.fortinet.com/t5/FortiGate-Cloud/Technical-Tip-Understanding-Automatic-Patch-Upgrade-FortiGate/ta-p/316549 -->


=== Was bedeutet automatisches Update in der FortiGate Cloud fuer mich? ===
=== Was bedeutet automatisches Update in der FortiGate Cloud fuer mich? ===
In FortiGate Cloud v24.2.0 wurde die neue Funktion Automatische Updates eingeführt, die dir als Administrator die Möglichkeit bietet, Updates auf die neueste Patch-Version für alle deine verwalteten FortiGates automatisch zu planen und durchzuführen. In der späteren Version v24.3.0 wurde diese Funktion erweitert und in die Option Firmware-Profile integriert.  
In FortiGate Cloud v24.2.0 wurde die neue Funktion Automatische Updates eingeführt, die dir als Administrator die Möglichkeit bietet, Updates auf die neueste Patch-Version für alle deine gemanagten FortiGates automatisch zu planen und durchzuführen. In der späteren Version v24.3.0 wurde diese Funktion erweitert und in die Option Firmware-Profile integriert.  


So kannst du nun gezielt Profile erstellen und zuweisen, um die Updates noch flexibler und bedarfsgerechter zu steuern.
So kannst du nun gezielt Profile erstellen und zuweisen, um die Updates noch flexibler und bedarfsgerechter zu steuern.
Zeile 374: Zeile 372:


'''(none)''':  
'''(none)''':  
:Diese Einstellung ist technisch gesehen kein Profil, lässt sich jedoch auf eine cloud-verwaltetes FortiGate anwenden, wenn du die automatische Update-Funktion deaktivieren möchtest. Das ist die Standardeinstellung für alle FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement. In der Asset-Übersicht unter „Firmware-Profil“ wird bei der Auswahl von „(Kein Profil)“ einfach ein leerer Eintrag angezeigt.
:Diese Einstellung ist technisch gesehen kein Profil, lässt sich jedoch auf eine cloud-gemanagtes FortiGate anwenden, wenn du die automatische Update-Funktion deaktivieren möchtest. Das ist die Standardeinstellung für alle FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement. In der Asset-Übersicht unter „Firmware-Profil“ wird bei der Auswahl von „(Kein Profil)“ einfach ein leerer Eintrag angezeigt.


'''latest-patch''':   
'''latest-patch''':   
Zeile 394: Zeile 392:


Automatische Updates folgen dem Firmware-Upgrade-Pfad und aktualisieren auf die neueste verfügbare Patch-Version für die aktuell verwendete FortiGate-Firmware (z. B. werden Patch-Versionen automatisch aktualisiert, nicht jedoch Haupt- oder Nebenreleases). Für FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement kann ein Administrator ein benutzerdefiniertes Firmware-Profil erstellen, das eine bestimmte Version für das Upgrade festlegt.
Automatische Updates folgen dem Firmware-Upgrade-Pfad und aktualisieren auf die neueste verfügbare Patch-Version für die aktuell verwendete FortiGate-Firmware (z. B. werden Patch-Versionen automatisch aktualisiert, nicht jedoch Haupt- oder Nebenreleases). Für FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement kann ein Administrator ein benutzerdefiniertes Firmware-Profil erstellen, das eine bestimmte Version für das Upgrade festlegt.
Das '''none'''-Profil reicht aus, um automatische Updates für FortiGates mit FortiGate Cloud-Abonnements zu deaktivieren, es ist jedoch auch möglich, ein Profil zu erstellen, bei dem automatische Updates ausdrücklich deaktiviert sind.
Das '''(none)-Profil''' reicht aus, um automatische Updates für FortiGates mit FortiGate Cloud-Abonnements zu deaktivieren, es ist jedoch auch möglich, ein Profil zu erstellen, bei dem automatische Updates ausdrücklich deaktiviert sind.


FortiGates, die einer Security Fabric zugeordnet sind, werden nicht für automatische Updates unterstützt.  
FortiGates, die einer Security Fabric zugeordnet sind, werden nicht für automatische Updates unterstützt.  
Zeile 405: Zeile 403:


Falls ein Kunde jedoch Updates manuell durchführen möchte, stehen folgende Methoden zur Verfügung:
Falls ein Kunde jedoch Updates manuell durchführen möchte, stehen folgende Methoden zur Verfügung:
* Das '''(none)'''-Profil reicht aus, um automatische Updates für FortiGates mit einem FortiGate Cloud-Abonnement zu deaktivieren.  
* Das '''(none)-Profil''' reicht aus, um automatische Updates für FortiGates mit einem FortiGate Cloud-Abonnement zu deaktivieren.  
* Alternativ kann ein Profil erstellt werden, in dem automatische Updates ausdrücklich deaktiviert sind.
* Alternativ kann ein Profil erstellt werden, in dem automatische Updates ausdrücklich deaktiviert sind.


Für verwaltete FortiGates ohne kostenpflichtiges FortiGate Cloud-Abonnement kann der Administrator die FortiGate so konfigurieren, dass die Verwaltung durch FortiGate Cloud deaktiviert wird.
Für gemanagte FortiGates ohne eine kostenpflichtiges FortiGate Cloud-Subscription (Gratis Version) kann der Administrator die FortiGate so konfigurieren, dass das Management durch die FortiGate Cloud deaktiviert wird.
{| class="wikitable" style="width:850px"
Dadurch werden alle Remote-Management-Funktionen der FortiGate Cloud für dieses FortiGate deaktiviert, einschließlich Firmware-Updates durch FortiGate Cloud. Siehe den Artikel „Wie man den Verwaltungstunnel zu FortiGate Cloud deaktiviert“.
|- style="background:#89E871"
 
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
Erstellen von benutzerdefinierten Firmware-Profilen in FortiGate Cloud:
|-  
 
|
Melde dich bei FortiGate Cloud an (https://login.forticloud.com/) und navigiere zu Management -> Firmware Profile.
[[Datei:Fortinet-3477.jpg|550px|link=]] <-- Bild FortiGate Cloud management deaktivieren
Wähle die Schaltfläche Hinzufügen, um ein neues Firmware-Profil zu erstellen. Folgende Optionen stehen zur Verfügung:
|- style="background:#89E871"
FortiGate: Kann entweder auf alle unterstützten Modelle oder auf bestimmte Modelle festgelegt werden, denen das Profil zugewiesen werden soll. Modelle ohne und mit Speicher müssen separat hinzugefügt werden (z. B. FortiGate-60F vs. FortiGate-61F).
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
Auto Upgrade-Status: Kann zum Aktivieren oder Deaktivieren der automatischen Updates für Geräte, die dieses Profil verwenden, verwendet werden.
|-  
Firmware-Version: Kann auf „Latest Patch“ (d. h. neueste Revision für die aktuell verwendete Nebenversion) oder auf eine bestimmte Version gesetzt werden.
|
Upgrade-Datum: Kann auf „Verzögerung“ eingestellt werden, wenn die Firmware-Version auf „Latest Patch“ gesetzt ist; andernfalls ist nur die Option „Angeben“ verfügbar.
<pre style="background-color:#252269;color: #FFFFFF">
Verzögerung in Tagen: Kann zwischen 1-14 Tagen festgelegt werden, Standardwert sind 3 Tage (nur wenn „Verzögerung“ ausgewählt wurde).
config system central-management
Verfügbare Tage für Upgrades: Kann auf einen beliebigen Wochentag festgelegt werden (nur wenn „Angeben“ ausgewählt wurde).
set type none
Bevorzugte Upgrade-Zeit: Kann auf den Zeitraum eingestellt werden, in dem das Upgrade ausgeführt werden soll. Optionen umfassen 23 Uhr - 2 Uhr, 0 Uhr - 3 Uhr oder 1 Uhr - 4 Uhr.
end
Klicke auf OK, um den Vorgang abzuschließen.
</pre>
 
|}
 
 
Zuweisen von Firmware-Profilen zu FortiGates in FortiGate Cloud:


Melde dich bei FortiGate Cloud an und navigiere zur Assets-Seite.
Dadurch werden alle Remote-Management-Funktionen der FortiGate Cloud für diese FortiGate deaktiviert, einschliesslich Firmware-Updates durch FortiGate Cloud.  
Wähle ein oder mehrere FortiGates aus (mehrere können durch Halten der Umschalttaste ausgewählt werden), Rechtsklick und wähle dann Gruppenverwaltung -> Firmware-Profil zuweisen.
Wähle im Dropdown-Menü das Profil aus, das zugewiesen werden soll.
Hinweis: Wenn das FortiGate kein aktives FortiGate Cloud-Abonnement hat, kann ab dem 1. November 2024 nur das latest-patch-Profil ausgewählt werden.
Klicke auf die Schaltfläche Absenden, nachdem das gewünschte Profil zugewiesen wurde.
Überprüfen, welche Firmware-Profile FortiGates in FortiGate Cloud zugewiesen sind:
 
Melde dich bei FortiGate Cloud an und navigiere zur Assets-Seite.
Prüfe, ob die Spalte Firmware-Profil in der aktuellen Spaltenliste vorhanden ist. Falls nicht, Rechtsklick auf die obere Zeile der Asset-Tabelle, füge die Spalte Firmware-Profil hinzu und wähle anschließend Anwenden, um die Änderung zu übernehmen.
In der Spalte Firmware-Profil wird das aktuell zugewiesene Profil für jedes FortiGate angezeigt. Beachte, dass ein leerer Eintrag darauf hinweist, dass das Profil „(Kein Profil)“ verwendet wird.


Siehe den Artikel:
* https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-disable-management-tunnel-to-FortiGate/ta-p/348924


  [[Datei:Fortinet-3475.jpg|550px|link=]]
  [[Datei:Fortinet-3475.jpg|550px|link=]]


  [[Datei:Fortinet-3476.jpg|550px|link=]]
  [[Datei:Fortinet-3476.jpg|550px|link=]]
----
----
<small>add 30.10.2024 - 4Tinu </small>
<small>add 30.10.2024 - 4Tinu </small>

Aktuelle Version vom 30. Oktober 2024, 16:10 Uhr

FortiCloud(FAMS):FAQ

Vorwort

Diese FAQ's sind für FortiGate Systeme basierend auf OS 4 MR3 oder höherk, Forti Access Point 5.2 oder höher sowie FortiCloud 3.0 oder höher!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiCloud

Was ist unter dem Service FortiCloud zu verstehen?

FortiCloud ist ein Service von Fortinet der verschiedenen Dienste in der Cloud zur Verfügung stellt. Dabei liegt der Fokus des Service speziell auf Logs, Sandbox und Forti Access Points. Die Funktionen umfassen im Allgemeinen die Folgenden:

  • Centralized Dashboard: system and log widgets plus real-time monitors
  • FortiView Log Viewer: real-time log viewing with filters and download capability
  • Drilldown Analysis: user and network activity analysis
  • Report Generator: create custom report templates, and schedule reports in different formats to display location-based analytics or illustrate network usage patterns
  • Device Management: configuration backup and history, script management, and alert profiles for real-time monitors
  • AV Submission: shows the status of suspicious files undergoing cloud-based sandbox analysis
  • Wireless Health Monitoring: bandwidth, usage, clients, interference, failed login and rogue APs
  • Wireless Security Logs & Events: Authentication, Antivirus, IPS, Web Access, PCI compliance
  • Wireless Configuration: SSIDs (including IPS, Antivirus and Web Filtering configuration), Authentication, Captive Portal, Platform Profiles, Tags and Network Settings
  • Guest Management: ability to add guests and notify them if credentials via SMS or email
  • Social Media Account Integration: ability for guests to connect to wireless accounts via social media

Ueber FortiCloud können folgende Devices eingebunden werden:

FortiGate
         Alle FortiGate Modell bis zur FG-300 Serie (FortiCloud Aktivierung im Web Mgmt. Interface im "Licensing Information" Widget). 
         Alle Modell der 600 bis 800 Serie (FortiCloud Aktivierung in der CLI).
FortiWiFi
         Alle FortiWiFi Modell der 20 bis 90 Serie (FortiCloud Aktivierung im Web Mgmt. Interface im "Licensing Information" Widget). 
FortiAP
         Alle FortiAP, FortiAP-S und FortiAP-C Modelle.

Der Service FortiCloud untersteht den Rechtsbestimmungen (under the law) von Kalifornien/US:

       https://www.forticloud.com/help/agreement.html

Folgendes Offizielle Dokument von Fortinet geben Auskunft ueber verschiedenen Fragen im Zusammenhang mit FortiCloud:

       Datei:FortiCloud FAQ.pdf                                      (FortiCloud v3.1 Frequently Asked Questions)
       Datei:FortiCloud-ServiceDescription.pdf                       (FortiCloud Service Description)
       Datei:FortiCloud FortiMail-ServiceDescription.pdf             (FortiCloud FortiMail Service Description)
       Datei:FortiCloud FortiSandbox-ServiceDescription.pdf          (FortiCloud FortiSandbox Service Description)
       Datei:FortiCloud Regional data centers.pdf                    (FortiCloud and Regional FortiCloud Data Centers)
       Datei:FortiCloud-ReleaseNotes-3.2.0-pdf                       (FortiCloud Release Notes Version 3.2.0)
       Datei:FortiCloud-ReleaseNotes-3.3.0-pdf                       (FortiCloud Release Notes Version 3.3.0)
       Datei:FortiCloud-AdminGuide.pdf                               (FortiCloud Administration Guide)

Nachfolgende Dokumente geben ebenfalls Auskunft über den Service jedoch basieren diese noch auf FortiCloud v2.0:

       Datei:Forticloud-guide.pdf
       Datei:FortiCloud data sheet.pdf
       Datei:FortiCloud Sales Presentation.pptx

Gibt es eine Möglichkeit den FortiCloud Service zu Testen?

Die Möglichkeit gibt es in dem Sinne, dass unter der Login Seite von FortiCloud ein Link zur Verfügung gestellt wird für eine LiveDemo:

       https://www.forticloud.com
       Fortinet-2136.jpg

Sind die verschiedenen Service's von FortiCloud Kostenlos?

Grundsätzlich ist der Service von FortiCloud kostenlos jedoch ist dabei zu unterscheiden zwischen Logging, Sandbox und Management von Forti Access Points. Dies bedeutet wiederum Folgendes:

Cloud Sandbox

Der Service "Cloud Sandbox" der auf einem FortiGate Device eingebunden werden kann ist nicht Kostenlos! Der Service kann als jährliche Subscription entweder über den einzelnen Service "FortiGuard Fortsandbox FortiCloud Service" oder als Bundle über das "Enterprise Bundle" bezogen werden. Der Service wird auf einer FortiGate aktiviert. Weitere Informationen dazu siehe nachfolgender Artikel:

Cloud Centralized Logging

Der Service "Cloud Centralized Logging" der auf einer FortiGate anhand FortiCloud Logging aktiviert werden kann ist Grundsätzlich im folgenden Modus kostenlos:

  • Log Storage 2 GB
  • Log Retention 7 Tage

Diese Kostenloste Variante kann erweitert werden auf unlimitierten Storage sowie 1 Year Log Retention:

FortiCloud Analysis Service- 1 Year Log Retention FC-10-000[FortiGate Device]-131-02-[Month]

Die SKU ist für jedes Modell unterschiedlich sowie können 1, 2 oder 3 Jahre bezogen werden [Month]. Zusätzlich zu dieser 1 Year Log Retention steht der "Threat Detection Service" zur Verfügung. Dieser "Thread Detection

Cloud Managed Forti Access Points

Dieser Service "Cloud Managed Forti Access Points" steht kostenlos zur Verfügung. Weitere Informationen wie dieser Service benützt wird siehe nachfolgender Artikel:

Wie werden meine Daten von Fortinet verwendet ?

Im folgenden Dokument wird erklärt, was mit meinen Daten passiert, welche an Fortinet kommuniziert werden:

       Datei:Fortinet-Service-secure-Customer-Data-handling.pdf                           Customer Data Handling for Fortinet Services and Websites

Wie kann ich einen Account in der FortiCloud eröffnen?

Damit die FortiAPs oder FortiGates über FortiCloud verwaltet werden können, muss ein entsprechender Account erstellt werden. Der Account wird auch benötigt um die anderen FortiCloud Dienste wie Sandboxing, FortiMail usw zu monitoren und konfigurieren. Der Account sollte für jeden Endkunden separat erstellt werden. Es ist keine Lizenz notwendig um einen Account zu erstellen und diesen zu verwalten. Die Lizenzen werden benötigt um die entsprechenden Clouddienste zu nutzen. Über folgenden link kann man einen Account erstellen:

       https://login.forticloud.com/

FortiCloud Account eröffnen über https://login.forticloud.com/

Für einen neuen Account zu eröffnen Create a new account anwählen:
Fortinet-1426.jpg
Email Adresse und Passwort definieren:
Fortinet-1427.jpg
Nach Abschluss wird eine Bestätigungs E-Mail an die angegebene Adresse gesendet

mit weiteren Instruktionen um den FortiCloud Zugriff fertig zu stellen:

Dies kann ein paar Minuten dauern bis das E-Mail eintrifft:

Fortinet-20016.jpg
Den Aktivierungs Link im E-Mail anwählen und man wird weitergeleitet auf das FortiCloud

Portal um die Registration zu finalisieren:

Fortinet-20017.jpg
Wenn alles geklappt hat, bekommt man dieses Fenster. Nun kann auf die Cloud verbunden werden:
Fortinet-20018.jpg
Jetzt muss ausgewählt werden, auf welches Rechenzenter wir auf die Cloud Services nutzen wollen:

Es gibt die Möglichkeit Nordamerika oder Europa. In Europa steht das Datenzenter in Frankfurt Deutschland.

Fortinet-1812.jpg

NOTE: Das Rechenzenter kann nachträglich nicht mehr gewechselt werden. Das heisst es muss ein neuer Account auf dem anderen Rechenzenter eröffnet werden und die Geräte dort neu hinzugefügt und konfiguriert werden
Fortinet-20019.jpg

Ab jetzt können die Geräte und Dienste in der FortiCloud genutzt werden:
Fortinet-20020.jpg

Jetzt kann ein entsprechender Service lokal auf dem Fortinet Device für FortiCloud aktiviert werden. Nachdem dies durchgeführt wurde erscheint der entsprechende Fortinet Device im entsprechenden Account der FortiCloud. Detailliert Informationen wie dies für einen FortiAP-S durchgeführt wird siehe nachfolgender Artikel:

       FortiAP-S:FAQ

Grundvoraussetzung damit ein Fortinet Device in die FortiCloud eingebunden werden kann ist eine korrekte Registrierung anhand der Serien Nummer im Support Portal sowie zusätzliche Subscriptions für en entsprechenden Fortinet Device (FortiCare/FortiGuard). Weitere Informationen siehe nachfolgender Artikel:

       Fortinet:DeviceRegistrierung

Welche Service Ports werden für die verschiedenen Service in der FortiCloud benutzt?

Für die verschiedene Services werden auf den Fortinet Devices folgende Service Ports benützt:

       Fortinet-2135.jpg

Welche FortiOS Versionen werden für FortiCloud für FortiGate und Forti AccessPoint Devices unterstützt?

FortiCloud unterstützt folgende FortiOS Versionen:

  • FortiGate ab FortiOS Version 4 MR3 oder höher
  • Forti Access Point ab FortiOS Version 5.2 oder höher (Empfohlen FortiOS Version 5.4.1)

Wie kann ich für einen FortiGate Device die Management Funktionen in der FortiCloud aktivieren?

Wenn ein FortiGate Device korrekt Registriert wurde sowie nachträglich in den entsprechenden FortiCloud Account eingebunden wurde, sind die Management Funktionen nur dann ersichtlich zB Backup wenn diese lokal auf dem FortiGate Device konfiguriert wurden. Dazu muss folgendes durchgeführt werden:

Konfiguration über CLI
# config system central-management
# set mode backup
# set type fortiguard
# end

Kann ich über den FortiCloud Centralized Logging Service einen FortiGate Cluster einbinden?

Grundsätzlich kann ein FortiGate Cluster in den FortiCloud Centralized Logging Service eingebunden werden jedoch werde diese Logs nicht "aggregiert". Dies bedeutet: Der FortiCloud Server kennt keine Cluster Konfiguration und somit muss jeder Node des Cluster einzeln eingebunden werden. Da die Logs eines FortiGate Clusters in der FortiCloud nicht "aggregiert" werden ist kein einzelnes Log für den Cluster ersichtlich sondern für jeden Device einzeln. Somit muss auch jeder einzelne Node eines FortiGate Clusters für die FortiCloud lizensiert werden mit zB einer 1 Yare Anual Log Retention Lizenz.

Wie Registriere ich den 1-Year Log Retention Service auf der FortiGate?

Mit dem 1-Year Log Retention Service können die Logdaten über die FortiGate in die FortiCloud übermittelt werden. Es ist mit diesem Dienst möglich, dass Konfigurationsänderungen wie Interface Management, Routing, Objekt Management, Policy und NAT Verwaltungen durchgeführt werden können.

In der FortiCloud erfasste FortiGate ohne 1-Year Log Retention Service:

Fortinet-20008.jpg

Damit der Service funktionieren wird, muss über das Supportportal die Lizenz auf die entsprechende FortiGate verknüpft und aktiviert werden.

Enthaltene Features beim Log Retention Service:

Fortinet-20007.jpg

Fortinet-20009.jpg

Registration über das Supportportal:

Den FortiCloud-Key eingeben, welcher auf dem Gerät "FortiCloud Key" entnommen werden kann:

Fortinet-2603.jpg

Die Serienummer der gewünschten FortiGate angeben:

Fortinet-20011.jpg

Agreement durchlesen und bestätigen:

Fortinet-20012.jpg

Einstellungen noch einmal kontrollieren. Achtung nach diesem Schritt sind keine Änderungen mehr möglich!

Fortinet-20013.jpg

Die Registration ist abgeschlossen.

Fortinet-20014.jpg

Wenn die FortiGate konfiguriert ist, wird diese im FortiCloud Portal ersichtlich sein:

Fortinet-20015.jpg

Auf dem FortiGate Dashboard unter FortiCloud Status erscheint die Meldung "Activation Pending. Please view confirmation email"?

Wenn FortiCloud aktiviert wird, kann es vorkommen das nach der Aktivierung diese Meldung auf dem Dashboard eines FortiGate Devices unter der Position FortiCloud bestehen bleibt und die Aktivierung nicht abgeschlossen werden kann. Ist dies der Fall führe folgendes durch:

Konfiguration über CLI
# config system fortiguard-log
# unset service-account-id
# end

Durch "unset service-account-id" wird der Cache betreffend ID gelöscht. Danach kann anhand folgenden Befehls in der CLI die Aktivierung mitverfolgt werden:

Konfiguration über CLI
# execute fortiguard-log update

FortiGateCloud

Unterstütz mein FortiGate Modell die FortiCloud management Funktion?

In der folgenden Matrix kann nachgeschaut werden, ob mein FortiGate Modell die Management Funktion unterstütz in der FortiCloud:

In der Folgenden Datei findet man die unterstützen FortiGate Modelle, Stand 20.08.2020:


edit 30.10.2024 - 4Tinu

Was ist der Unterschied beim automatischem Pachtupgrade zwischen der FortiGate Cloud Premium und der lokalen Einstellungen auf der FortiGate?

In diesem Artikel erfährst du, wie die Priorität und Unabhängigkeit der automatischen Patch-Upgrades zwischen den Einstellungen in der FortiGate Cloud Premium und den lokalen FortiGate-Einstellungen funktioniert. Du bekommst Klarheit darüber, welche Einstellungen wann das Sagen haben und wie sie sich gegenseitig beeinflussen – oder eben auch nicht!

Ausgangslage:
FortiGates, welche FortiGate Cloud nutzen (sowohl im Premium- als auch im Standard-Portal), automatische Firmware-Updates über die FortiGate Cloud und lokale Einstellungen, FortiCloud v24.2.0 und v7.2.

Mit der FortiGate hast du die volle Kontrolle: Du kannst automatische Patch-Upgrades entweder über FortiGate Cloud oder lokal verwalten. Hier erfährst du, wie die beiden Optionen zusammenarbeiten und welche das letzte Wort hat:

Parallel Operation:
Die automatische Patch-Funktion in FortiGate Cloud läuft unabhängig von der lokalen FortiGate-Einstellung. Du kannst die Cloud-Einstellungen jederzeit anpassen, wenn dein FortiGate-Gerät ein FortiGate Cloud Service-Abonnement hat. Änderungen in der Cloud beeinflussen die lokale Einstellung jedoch nicht und umgekehrt – jede arbeitet eigenständig.

Precedence:
Falls ein automatisches Patch-Upgrade sowohl in der Cloud als auch lokal geplant ist, wird die zuerst angesetzte Aufgabe ausgeführt. Hat die Cloud entdeckt, dass das Gerät bereits lokal gepatcht wurde, wird sie kein weiteres Upgrade starten.

Buffer Period:
Die automatische Patch-Funktion der Cloud hat momentan eine Pufferzeit von 90 Tagen (Empfehlung des Rechtsteams). Das heisst, dass Änderungen an der Auto-Patch-Einstellung in der Cloud erst nach dieser Zeitspanne greifen.


add 30.10.2024 - 4Tinu

Was bedeutet automatisches Update in der FortiGate Cloud fuer mich?

In FortiGate Cloud v24.2.0 wurde die neue Funktion Automatische Updates eingeführt, die dir als Administrator die Möglichkeit bietet, Updates auf die neueste Patch-Version für alle deine gemanagten FortiGates automatisch zu planen und durchzuführen. In der späteren Version v24.3.0 wurde diese Funktion erweitert und in die Option Firmware-Profile integriert.

So kannst du nun gezielt Profile erstellen und zuweisen, um die Updates noch flexibler und bedarfsgerechter zu steuern.

Aktuell stehen dir in der FortiGate Cloud zwei Standardprofile zur Auswahl, zusätzlich kannst du auch benutzerdefinierte Profile erstellen:

(none):

Diese Einstellung ist technisch gesehen kein Profil, lässt sich jedoch auf eine cloud-gemanagtes FortiGate anwenden, wenn du die automatische Update-Funktion deaktivieren möchtest. Das ist die Standardeinstellung für alle FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement. In der Asset-Übersicht unter „Firmware-Profil“ wird bei der Auswahl von „(Kein Profil)“ einfach ein leerer Eintrag angezeigt.

latest-patch:

Dieses integrierte Profil ist für jedes FortiGate verfügbar, das von FortiGate Cloud für automatische Updates unterstützt wird, und ermöglicht eine unkomplizierte Update-Automatisierung. Mit diesem Profil werden Firmware-Updates automatisch an allen Wochentagen zwischen 23 Uhr und 2 Uhr (lokale Zeitzone des jeweiligen FortiGates) durchgeführt.

Allgemeine Hinweise zu automatischen Updates und Firmware-Profilen:

Mit den neuen Firmware-Profilen in FortiGate Cloud wird die Verwaltung deiner FortiGate-Geräte noch einfacher und effizienter – du hast die Kontrolle über den Zeitpunkt und Umfang der automatischen Updates und kannst diese optimal an deine Anforderungen anpassen.

Wichtig.svg

FortiGates, die ohne kostenpflichtiges Abonnement mit der FortiGate Cloud verbunden sind (also im kostenlosen Bereich), verwenden derzeit das Profil none. Ab dem 1. November 2024 werden jedoch alle kostenlosen FortiGates automatisch dem latest-patch-Profil zugewiesen.

Automatische Updates folgen dem Firmware-Upgrade-Pfad und aktualisieren auf die neueste verfügbare Patch-Version für die aktuell verwendete FortiGate-Firmware (z. B. werden Patch-Versionen automatisch aktualisiert, nicht jedoch Haupt- oder Nebenreleases). Für FortiGates mit einem kostenpflichtigen FortiGate Cloud-Abonnement kann ein Administrator ein benutzerdefiniertes Firmware-Profil erstellen, das eine bestimmte Version für das Upgrade festlegt. Das (none)-Profil reicht aus, um automatische Updates für FortiGates mit FortiGate Cloud-Abonnements zu deaktivieren, es ist jedoch auch möglich, ein Profil zu erstellen, bei dem automatische Updates ausdrücklich deaktiviert sind.

FortiGates, die einer Security Fabric zugeordnet sind, werden nicht für automatische Updates unterstützt. Es ist möglich, einem FortiGate im Security Fabric ein Firmware-Profil zuzuweisen, allerdings wird das Profil nach dem Aktualisieren der FortiGate Cloud-Seite wieder entfernt (dies ist erwartetes Verhalten).

Deaktivierung von automatischen Updates/Firmware-Profilen:

Das Anwenden des neuesten Patches stellt sicher, dass neu entdeckte Schwachstellen den Betrieb deiner FortiGates nicht beeinträchtigen. Daher wird empfohlen, diese Option zu verwenden, auch wenn sie für Abonnenten deaktiviert werden kann.

Falls ein Kunde jedoch Updates manuell durchführen möchte, stehen folgende Methoden zur Verfügung:

  • Das (none)-Profil reicht aus, um automatische Updates für FortiGates mit einem FortiGate Cloud-Abonnement zu deaktivieren.
  • Alternativ kann ein Profil erstellt werden, in dem automatische Updates ausdrücklich deaktiviert sind.

Für gemanagte FortiGates ohne eine kostenpflichtiges FortiGate Cloud-Subscription (Gratis Version) kann der Administrator die FortiGate so konfigurieren, dass das Management durch die FortiGate Cloud deaktiviert wird.

Config webgui.png Konfiguration über das WebGui:
Datei:Fortinet-3477.jpg <-- Bild FortiGate Cloud management deaktivieren 
Config cli.png Konfiguration über die CLI:
 
config system central-management
set type none
end

Dadurch werden alle Remote-Management-Funktionen der FortiGate Cloud für diese FortiGate deaktiviert, einschliesslich Firmware-Updates durch FortiGate Cloud.

Siehe den Artikel:

Fortinet-3475.jpg
Fortinet-3476.jpg

add 30.10.2024 - 4Tinu

FortiGateCloud - Troubleshooting

Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden?

Beispiele:

Invalid Username or Password
FortiCloud Internal Error
HTTP 400

Lösungen:

  • Passwort muss maximal 20 Zeichen enthalten
  • Port TCP 443 muss offen/verfügbar sein
  • FortiGate muss logctrl1.fortinet.com oder globallogctrl.fortinet.net pingen können
  • Falls keine Änderung, dann wird FortiGateCloud-Debug empfohlen (Output anschliessend an TAC senden):
Config cli.png Konfiguration über die CLI:
# get    
# end
# diag debug console timestamp enable    
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login

- Falls Fehlermeldung mit HTTP 400, dann wird HTTP-Debug empfohlen:

Config cli.png Konfiguration über die CLI:
# diag debug app httpsd -1


- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. Sonderzeichen im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: Erst-Aktivierung immer im Master/Primary -> Aktivierung findet gleichzeitig im Slave/Secondary statt

Wie aktiviere ich den Management Tunnel Status auf der FortiGate?

- Mit foldendem CLI-Befehl:

Config cli.png Konfiguration über die CLI:
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd


- Falls FortiGate länger als 24 Stunden inaktiv ist, muss überprüft werden, ob Port443 offen/verfügbar ist, und via Port443 eine Telnet-Verbindung zu logctrl1.fortinet.com oder globallogctrl.fortinet.net möglich ist


Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal?

  • Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint
  • FortiGate wird entweder zum globalen oder europäischen FortiCloud-Service hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!
  • Falls auf der FortiGate Domain Selection (beim Login) möglich ist, kann man direkt auf den globalen (www.forticloud.com) oder europäischen (europe.forticloud.com) Service gelangen

Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht?

- Mit foldendem CLI-Befehl:

Config cli.png Konfiguration über die CLI:
# execute fortiguard-log login


Wie gehe ich vor, wenn Log-Uploads auf FortiCloud nicht funktionieren?

- Mit folgenden CLI-Befehlen:

Config cli.png Konfiguration über die CLI:
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable


- Um Unterbrüche bei schlechter Netzwerkverbindung zu vermeiden, kann das Time-Out erhöht werden:

Config cli.png Konfiguration über die CLI:
# config log fortiguard setting
# set conn-timeout 120
# end


Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden?

  1. GUI: System > Feature Visibility, FortiSandbox Cloud einstellen
  2. GUI: Security Fabric > Settings, Sandbox Inspection einstellen
  3. GUI: Security Profile > AntiVirus, Suspicious Files Only oder All Supported Files einstellen
  4. GUI: Policy & Objects > IPv4 Policy, AntiVirus für die entsprechende Policy aktivieren

Was muss ich beim Auto-Backup beachten?

  • Auto-Backup entweder Per Session (default: nach 600 Sekunden) oder Per Day
  • Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden
  • Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung 7 Tage, bei lizenzierten FortiGates hingegen 1 Jahr

Wie gehe ich vor, wenn FortiDeploy nicht funktioniert?

  • FortiManager-Einstellungen überprüfen
  • Sicherstellen, dass Central Management Settings auf FortiGateCloud eingestellt sind
  • Sicherstellen, dass via Port443 auf logctrl1.fortinet.com verbunden werden kann
  • Mittels Device Key das Inventory importieren
  • FortiGate im FortiManager ausrollen und neustarten, ansonsten:
Config cli.png Konfiguration über die CLI:
# execute fortiguard-log join

Welcher IP Range benutzt die FortiGate Cloud in Europa?

Die FortiGate Cloud in Europa (EU) benutzt ab dem 3.12.2021 folgender IP Range:

154.52.10.0/24

Bis zum 3.12.2021 warn folgende Netze für die EU-FortiGate Cloud benutzt worden:

81.201.100.224/24, 81.201.101.192/26 und 62.209.37.64/26

Somit kann man an einer Perimeter Firewall das entsprechende Netz für den Zugriff auf die FortiGate Cloud mit einer Firewall Regel einschränken.

FortiSwitch Cloud

Dokumente

FortiSwitch Cloud - Release Notes
FortiSwitch Cloud - Admin Guide

FortiExtender Cloud

Dokumente

FortiExtender Cloud - Release Notes:
FortiExtender Cloud - Handbook:

FortiAnalyzer Cloud

Welche Features sind in der FortiAnalyzer Cloud enthalten?

Folgende Features werden unterstützt:

Central Log Management & Reporting 
Security Logs (UTM)
Event Logs
Traffic Logs (nur Premium)
IOC Scan
SOC Subscription (nur Premium)
FortiView
Network Monitoring & Alerting
Multi-Tenancy
Achtung.png

FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.

Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud?

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

FortiAnalyzer Cloud Subscription (Anzahl Subscriptions = Anzahl verwalteter FortiGates) 
sowie 
FortiCloud Premium Subscription (Anzahl Subscriptions = 1x)

FortiAnalyzer Cloud Subscription gibt es als:

FAZ Cloud Base (Fokus: u.a. Event Logs, Security Logs (UTM)) 
FAZ Cloud Premium (seit FortiOS 6.44, Fokus: u.a. Traffic Logs)

Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base, d.h.
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im 360 Protection Bundle integriert
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: FG-30- bis FG-80-Serie


Wünscht man alle Log-Funktionalitäten, dann sind folgende Subscriptions nötig:

FAZ Cloud Premium für jede verwaltete FortiGate
z.B. FC-10-0060F-208-02-12: FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all 
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man nur Event Logs und Security Logs (UTM), dann sind folgende Subscriptions nötig:

FAZ Cloud Base für jede verwaltete FortiGate
z.B. FC-10-0060F-188-02-12: FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung?

FAZ Cloud Base bietet einen Standard-Speicher von total 500 GB.

FAZ Cloud Premium hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle (Totaler Speicher):

Fortinet-3034.jpg

FAZ Cloud Base hat kein Limit bezüglich Speichernutzung pro Tag, da keine Traffic Logs unterstützt werden.

FAZ Cloud Premium weist hingegen ein Limit auf; die Speichernutzung pro Tag ist abhängig vom FortiGate-Modell - siehe Tabelle (Speicher pro Tag):

Fortinet-3035.jpg