Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fortinet FortiAnalyzer-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Leitfaden wird beschrieben, wie Sie Fortinet FortiAnalyzer-Logs mit Bindplane in Google Security Operations aufnehmen.

Fortinet FortiAnalyzer ist eine zentrale Plattform für Logverwaltung, Analysen und Berichte für Fortinet Security Fabric-Geräte. Sie aggregiert Logs von FortiGate-Firewalls, FortiMail, FortiWeb, FortiSandbox und anderen Fortinet-Produkten, um einheitliche Sichtbarkeit, Ereigniskorrelation und Compliance-Berichte zu ermöglichen. FortiAnalyzer kann aggregierte Logs über Syslog zur weiteren Analyse an externe SIEM-Plattformen weiterleiten.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz.
Windows Server 2016 oder höher oder Linux-Host mit systemd.
Netzwerkverbindung zwischen dem Bindplane-Agent und der FortiAnalyzer-Appliance.
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Privilegierter Zugriff auf die Fortinet FortiAnalyzer-Verwaltungskonsole (Super_User oder entsprechende Administratorrolle).

Authentifizierungsdatei für die Google SecOps-Datenaufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Datenaufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:bash sudo nano /opt/observiq-otel-collector/config.yaml
Windows:cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fortianalyzer:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    # Replace with your actual customer ID from Step 2
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIANALYZER
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fortianalyzer_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/fortianalyzer

Konfigurationsparameter

Empfängerkonfiguration:
- listen_address: IP-Adresse und Port, die überwacht werden sollen. Verwenden Sie 0.0.0.0, um alle Schnittstellen zu überwachen. Ändern Sie den Port bei Bedarf (z. B. 1514).
Exporter-Konfiguration:
- creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Ihre Google SecOps-Kundennummer.
- endpoint: Regionale Endpunkt-URL (z.B. malachiteingestion-pa.googleapis.com).
- ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:

Führen Sie dazu diesen Befehl aus:

sudo systemctl restart observiq-otel-collector

Prüfen Sie, ob der Dienst ausgeführt wird:

sudo systemctl status observiq-otel-collector

Logs auf Fehler prüfen:

sudo journalctl -u observiq-otel-collector -f

So starten Sie den Bindplane-Agent unter Windows neu:

Wählen Sie eine der folgenden Optionen aus:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services Console:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```

Logs auf Fehler prüfen:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für FortiAnalyzer konfigurieren

Konfigurieren Sie FortiAnalyzer so, dass Logs über die Syslog-Ausgabe an den BindPlane-Agent weitergeleitet werden.

Syslog-Server in FortiAnalyzer konfigurieren

Melden Sie sich in der Weboberfläche von FortiAnalyzer an.
Gehen Sie zu Systemeinstellungen > Log-Weiterleitung.
Klicken Sie auf Neu erstellen, um eine neue Weiterleitungsregel für Protokolle hinzuzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Chronicle-Bindplane.
- Status: Wählen Sie Aktivieren aus.
- Remote Server Type (Typ des Remoteservers): Wählen Sie Syslog aus.
- Server-IP/FQDN: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
- Serverport: Geben Sie 514 ein (oder den im Bindplane-Agent konfigurierten Port).
- Reliable Syslog (RFC 6587): Wählen Sie Aktivieren aus, um den TCP-Transport zu verwenden.
- Log Forwarding Format (Format für die Weiterleitung von Logs): Wählen Sie je nach Bedarf Default (Standard) oder CEF aus.
Konfigurieren Sie im Bereich Log-Filter die weiterzuleitenden Logtypen:
- Wählen Sie die ADOM (Administrative Domain) aus, aus der Logs weitergeleitet werden sollen.
- Wählen Sie die Gerätetypen und Protokollkategorien aus, die berücksichtigt werden sollen (Traffic-, Ereignis-, Sicherheits-, DNS-, SSH- und SSL-Protokolle).
Klicken Sie auf OK, um die Konfiguration zu speichern.

Logweiterleitung überprüfen

Gehen Sie zu Systemeinstellungen > Log-Weiterleitung.
Prüfen Sie, ob für die Weiterleitungsregel der Status Aktiviert angezeigt wird.
Behalten Sie die Spalte Statistiken im Blick, um zu prüfen, ob Logs weitergeleitet werden.
Prüfen Sie anhand der Bindplane-Agent-Logs, ob Logs empfangen werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`devname`	`principal.hostname`	Entnommen aus `devname`.
`srcip`	`principal.ip`	Entnommen aus `srcip`.
`srcport`	`principal.port`	In Ganzzahl umgewandelt.
`srcintf`	`additional.fields`	Schlüssel: `srcintf`.
`dstip`	`target.ip`	Entnommen aus `dstip`.
`dstport`	`target.port`	In Ganzzahl umgewandelt.
`dstintf`	`additional.fields`	Schlüssel: `dstintf`.
`proto`	`network.ip_protocol`	Zugeordnet (6=TCP, 17=UDP, 1=ICMP).
`action`	`security_result.action`	`accept/pass` → ZULASSEN; `deny/drop/block` → BLOCKIEREN.
`policyid`	`security_result.rule_id`	Entnommen aus `policyid`.
`policyname`	`security_result.rule_name`	Entnommen aus `policyname`.
`user`	`principal.user.userid`	Entnommen aus `user`.
`app`	`target.application`	Entnommen aus `app`.
`sentbyte`	`network.sent_bytes`	In eine vorzeichenlose Ganzzahl konvertiert.
`rcvdbyte`	`network.received_bytes`	In eine vorzeichenlose Ganzzahl konvertiert.
`severity`	`security_result.severity`	`information` → INFORMATIONAL, `warning` → MEDIUM, `error` → ERROR, `critical/alert/emergency` → HIGH.
`logid`	`metadata.product_log_id`	Entnommen aus `logid`.
`type`	`metadata.product_event_type`	Entnommen aus `type`.
`subtype`	`metadata.product_event_type`	An den Typ angehängt.
`level`	`security_result.severity_details`	Entnommen aus `level`.
–	`metadata.vendor_name`	Legen Sie Fortinet fest.
–	`metadata.product_name`	Auf FortiAnalyzer festlegen.

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten