Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Fortinet FortiAnalyzer

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En esta guía, se explica cómo puedes transferir registros de Fortinet FortiAnalyzer a Google Security Operations con Bindplane.

Fortinet FortiAnalyzer es una plataforma centralizada de administración, análisis y generación de informes de registros para dispositivos de Fortinet Security Fabric. Agrega registros de firewalls de FortiGate, FortiMail, FortiWeb, FortiSandbox y otros productos de Fortinet para proporcionar visibilidad unificada, correlación de eventos y generación de informes de cumplimiento. FortiAnalyzer puede reenviar registros agregados a través de syslog a plataformas SIEM externas para su posterior análisis.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Es una instancia de Google SecOps.
Windows Server 2016 o versiones posteriores, o host de Linux con systemd.
Conectividad de red entre el agente de Bindplane y el dispositivo FortiAnalyzer
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado a la consola de administración de Fortinet FortiAnalyzer (rol de Super_User o administrador equivalente)

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de root o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

Ubica el archivo de configuración

Linux: bash sudo nano /opt/observiq-otel-collector/config.yaml
Windows: cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fortianalyzer:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    # Replace with your actual customer ID from Step 2
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIANALYZER
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fortianalyzer_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/fortianalyzer

Parámetros de configuración

Configuración del receptor:
- listen_address: Es la dirección IP y el puerto que se escucharán. Usa 0.0.0.0 para escuchar en todas las interfaces. Cambia el puerto si es necesario (por ejemplo, 1514).
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Es tu ID de cliente de Google SecOps.
- endpoint: URL del extremo regional (p.ej., malachiteingestion-pa.googleapis.com).
- ingestion_labels: Etiquetas opcionales en formato YAML (por ejemplo, env: production).

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
Windows: Haz clic en Archivo > Guardar.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

Ejecuta el comando siguiente:

sudo systemctl restart observiq-otel-collector

Verifica que el servicio esté en ejecución:

sudo systemctl status observiq-otel-collector

Revisa los registros en busca de errores:

sudo journalctl -u observiq-otel-collector -f

Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

Elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```

Revisa los registros en busca de errores:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog de FortiAnalyzer

Configura FortiAnalyzer para que reenvíe registros al agente de BindPlane con la salida de syslog.

Cómo configurar el servidor syslog en FortiAnalyzer

Accede a la interfaz web de FortiAnalyzer.
Ve a Configuración del sistema > Reenvío de registros.
Haz clic en Crear nuevo para agregar una nueva regla de reenvío de registros.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Chronicle-Bindplane).
- Estado: Selecciona Habilitar.
- Tipo de servidor remoto: Selecciona Syslog.
- IP/FQDN del servidor: Ingresa la dirección IP del host del agente de BindPlane.
- Puerto del servidor: Ingresa 514 (o el puerto configurado en el agente de BindPlane).
- Syslog confiable (RFC 6587): Selecciona Habilitar para usar el transporte TCP.
- Formato de reenvío de registros: Selecciona Predeterminado o CEF según tus requisitos.
En la sección Log Filters, configura los tipos de registros que se reenviarán:
- Selecciona el ADOM (dominio administrativo) desde el que se reenviarán los registros.
- Selecciona los tipos de dispositivos y las categorías de registros que deseas incluir (registros de tráfico, eventos, seguridad, DNS, SSH y SSL).
Haz clic en Aceptar para guardar la configuración.

Verifica el reenvío de registros

Ve a Configuración del sistema > Reenvío de registros.
Verifica que la regla de reenvío muestre el estado como Habilitada.
Supervisa la columna Estadísticas para confirmar que los registros se reenvían.
Verifica que se reciban los registros revisando los registros del agente de Bindplane.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`devname`	`principal.hostname`	Se tomó de `devname`.
`srcip`	`principal.ip`	Se tomó de `srcip`.
`srcport`	`principal.port`	Se convirtió en un número entero.
`srcintf`	`additional.fields`	Clave: `srcintf`.
`dstip`	`target.ip`	Se tomó de `dstip`.
`dstport`	`target.port`	Se convirtió en un número entero.
`dstintf`	`additional.fields`	Clave: `dstintf`.
`proto`	`network.ip_protocol`	Asignado (6=TCP, 17=UDP, 1=ICMP)
`action`	`security_result.action`	`accept/pass` → ALLOW; `deny/drop/block` → BLOCK.
`policyid`	`security_result.rule_id`	Se tomó de `policyid`.
`policyname`	`security_result.rule_name`	Se tomó de `policyname`.
`user`	`principal.user.userid`	Se tomó de `user`.
`app`	`target.application`	Se tomó de `app`.
`sentbyte`	`network.sent_bytes`	Se convirtió en un número entero sin signo.
`rcvdbyte`	`network.received_bytes`	Se convirtió en un número entero sin signo.
`severity`	`security_result.severity`	`information` → INFORMATIONAL, `warning` → MEDIUM, `error` → ERROR, `critical/alert/emergency` → HIGH.
`logid`	`metadata.product_log_id`	Se tomó de `logid`.
`type`	`metadata.product_event_type`	Se tomó de `type`.
`subtype`	`metadata.product_event_type`	Se agrega al tipo.
`level`	`security_result.severity_details`	Se tomó de `level`.
N/A	`metadata.vendor_name`	Se establece en Fortinet.
N/A	`metadata.product_name`	Se debe establecer en FortiAnalyzer.

Registro de cambios

Consulta el registro de cambios de este analizador

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.