Monitoramento e logs no FortiGate: o que acompanhar
Um firewall bem configurado gera dados valiosos — mas sem um processo de monitoramento, esses dados ficam no disco e ninguém vê. Saiba quais logs importam e como usá-los.
Por que o monitoramento é parte da segurança
Configurar um firewall sem monitorar seus logs é equivalente a instalar câmeras de segurança sem nunca assistir as gravações. O valor real de um NGFW como o FortiGate está na visibilidade que ele oferece — mas só se alguém estiver olhando.
Monitoramento contínuo permite detectar ataques em andamento antes que causem dano, identificar configurações incorretas que estão bloqueando aplicações legítimas, comprovar conformidade em auditorias de segurança e rastrear o comportamento de usuários específicos quando necessário.
Tipos de log no FortiGate
O FortiGate gera vários tipos de log, cada um com finalidade específica:
Traffic Logs: registram cada sessão de rede — origem, destino, porta, duração, bytes transferidos e a política aplicada. São a base para análise de tráfego e auditoria de acessos.
Security Logs: eventos gerados pelos perfis de segurança — detecções de vírus, bloqueios de IPS, URLs bloqueadas por categoria, aplicações identificadas. São os logs mais relevantes para análise de ameaças.
Event Logs: eventos do sistema — logins administrativos, alterações de configuração, falhas de autenticação, reboots. Essenciais para auditorias de administração e detecção de acesso não autorizado.
VPN Logs: conexões SSL-VPN e IPsec — autenticações, desconexões, erros. Fundamentais para monitoramento de acesso remoto.
Armazenamento local tem limite: o FortiGate armazena logs localmente (em memória ou disco, dependendo do modelo), mas a capacidade é limitada. Logs antigos são sobrescritos. Para retenção de longo prazo e análise centralizada, use FortiAnalyzer ou syslog externo.
O que monitorar diariamente
Um processo de monitoramento diário não precisa ser demorado — foque nos indicadores de maior risco:
Top ameaças bloqueadas pelo IPS: um pico repentino de bloqueios de IPS pode indicar uma campanha de exploração em andamento contra sua rede ou um sistema comprometido realizando varreduras internas.
Detecções de vírus e malware: cada detecção de vírus em download indica que um usuário tentou baixar malware — mesmo que bloqueado, o comportamento merece investigação. Detecções repetidas do mesmo usuário são sinal de problema maior.
Tentativas de acesso a categorias bloqueadas: alto volume de tentativas de acesso a sites de malware ou phishing pode indicar dispositivos já comprometidos tentando se comunicar com infraestrutura C2.
Falhas de autenticação VPN: mais de 10 tentativas falhas em sequência para o mesmo usuário ou de um mesmo IP são sinal de ataque de força bruta.
FortiAnalyzer: centralização e correlação
O FortiAnalyzer é o componente de análise e correlação de logs do ecossistema Fortinet. Ele recebe logs de múltiplos FortiGates, FortiClients e outros dispositivos Fortinet e oferece:
Dashboards consolidados: visão em tempo real de eventos de segurança de todos os dispositivos gerenciados em uma única interface.
Relatórios automáticos: relatórios periódicos de conformidade, top ameaças, top usuários por tráfego, eventos críticos. Configuráveis para envio automático por e-mail para gestores e times de segurança.
Correlação de eventos: o FortiAnalyzer correlaciona eventos de múltiplas fontes para identificar ataques que se manifestam em múltiplos pontos da rede — algo impossível analisando logs de cada dispositivo individualmente.
Retenção de longo prazo: armazena logs por meses ou anos conforme necessário para conformidade — LGPD, PCI-DSS, ISO 27001.
Dica Fortilab: Para quem não tem FortiAnalyzer, o FortiGate suporta envio de logs via Syslog para SIEMs como Elastic/Kibana, Splunk ou Graylog. Uma solução open-source de SIEM já oferece boa visibilidade com custo reduzido.
Alertas automáticos: como configurar
Monitoramento reativo (abrir o dashboard quando há suspeita de problema) não é suficiente. Configure alertas proativos para as situações de maior risco:
No FortiGate, em Log & Report > Alert E-mail, configure envio automático de e-mail para eventos críticos: IPS attack blocked, virus detected, admin login from new IP, VPN brute force detected.
No FortiAnalyzer, a criação de eventos personalizados (Event Handler) permite definir alertas com lógica mais complexa — como enviar alerta apenas se o mesmo IP gerar mais de 50 bloqueios de IPS em 5 minutos, ou se um usuário acessar mais de 10 categorias bloqueadas em uma hora.
Integração com Slack, Teams ou ferramentas de ticketing via webhook permite enviar alertas diretamente para os canais que o time de TI já monitora, sem depender de e-mail.