Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Fortinet FortiAnalyzer

Didukung di:

Google secops SIEM

Panduan ini menjelaskan cara menyerap log Fortinet FortiAnalyzer ke Google Security Operations menggunakan Bindplane.

Fortinet FortiAnalyzer adalah platform pelaporan, analisis, dan pengelolaan log terpusat untuk perangkat Fortinet Security Fabric. Platform ini mengagregasi log dari firewall FortiGate, FortiMail, FortiWeb, FortiSandbox, dan produk Fortinet lainnya untuk memberikan visibilitas terpadu, korelasi peristiwa, dan pelaporan kepatuhan. FortiAnalyzer dapat meneruskan log yang diagregasi melalui syslog ke platform SIEM eksternal untuk analisis lebih lanjut.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps.
Host Linux dengan systemd atau Windows Server 2016 atau yang lebih baru.
Konektivitas jaringan antara agen Bindplane dan appliance FortiAnalyzer.
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane.
Akses istimewa ke konsol pengelolaan Fortinet FortiAnalyzer (Super_User atau peran administrator yang setara).

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download Ingestion Authentication File.
Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai active (running).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat panduan penginstalan agen Bindplane.

Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirim ke Google SecOps

Menemukan file konfigurasi

Linux: bash sudo nano /opt/observiq-otel-collector/config.yaml
Windows: cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Mengedit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fortianalyzer:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    # Replace with your actual customer ID from Step 2
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIANALYZER
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fortianalyzer_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/fortianalyzer

Parameter konfigurasi

Konfigurasi penerima:
- listen_address: Alamat IP dan port yang akan digunakan untuk mendengarkan. Gunakan 0.0.0.0 untuk mendengarkan di semua antarmuka. Ubah port jika diperlukan (misalnya, 1514).
Konfigurasi pengekspor:
- creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID pelanggan Google SecOps Anda.
- endpoint: URL endpoint regional (misalnya, malachiteingestion-pa.googleapis.com).
- ingestion_labels: Label opsional dalam format YAML (misalnya, env: production).

Menyimpan file konfigurasi

Setelah mengedit, simpan file:

Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X.
Windows: Klik File > Save.

Memulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux:

Jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Verifikasi bahwa layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows:

Pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Restart.
Verifikasi bahwa layanan sedang berjalan:
```
sc query observiq-otel-collector
```

Periksa log untuk mengetahui error:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog FortiAnalyzer

Konfigurasi FortiAnalyzer untuk meneruskan log ke agen Bindplane menggunakan output syslog.

Mengonfigurasi server syslog di FortiAnalyzer

Login ke antarmuka web FortiAnalyzer.
Buka System Settings > Log Forwarding.
Klik Create New untuk menambahkan aturan penerusan log baru.
Berikan detail konfigurasi berikut:
- Nama: Masukkan nama deskriptif (misalnya, Chronicle-Bindplane).
- Status: Pilih Enable.
- Remote Server Type: Pilih Syslog.
- Server IP/FQDN: Masukkan alamat IP host agen Bindplane.
- Server Port: Masukkan 514 (atau port yang dikonfigurasi di agen Bindplane).
- Reliable syslog (RFC 6587): Pilih Enable untuk menggunakan transportasi TCP.
- Format Penerusan Log: Pilih Default atau CEF berdasarkan persyaratan Anda.
Di bagian Log Filters, konfigurasi jenis log yang akan diteruskan:
- Pilih ADOM (Administrative Domain) tempat log akan diteruskan.
- Pilih jenis perangkat dan kategori log yang akan disertakan (log Traffic, Event, Security, DNS, SSH, SSL).
Klik OK untuk menyimpan konfigurasi.

Memverifikasi penerusan log

Buka System Settings > Log Forwarding.
Verifikasi bahwa aturan penerusan menampilkan status sebagai Enabled.
Pantau kolom Statistics untuk mengonfirmasi bahwa log sedang diteruskan.
Verifikasi bahwa log diterima dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`devname`	`principal.hostname`	Diambil dari `devname`.
`srcip`	`principal.ip`	Diambil dari `srcip`.
`srcport`	`principal.port`	Dikonversi ke bilangan bulat.
`srcintf`	`additional.fields`	Kunci: `srcintf`.
`dstip`	`target.ip`	Diambil dari `dstip`.
`dstport`	`target.port`	Dikonversi ke bilangan bulat.
`dstintf`	`additional.fields`	Kunci: `dstintf`.
`proto`	`network.ip_protocol`	Dipetakan (6=TCP, 17=UDP, 1=ICMP).
`action`	`security_result.action`	`accept/pass` → ALLOW; `deny/drop/block` → BLOCK.
`policyid`	`security_result.rule_id`	Diambil dari `policyid`.
`policyname`	`security_result.rule_name`	Diambil dari `policyname`.
`user`	`principal.user.userid`	Diambil dari `user`.
`app`	`target.application`	Diambil dari `app`.
`sentbyte`	`network.sent_bytes`	Dikonversi ke bilangan bulat yang tidak bertanda tangan.
`rcvdbyte`	`network.received_bytes`	Dikonversi ke bilangan bulat yang tidak bertanda tangan.
`severity`	`security_result.severity`	`information` → INFORMATIONAL, `warning` → MEDIUM, `error` → ERROR, `critical/alert/emergency` → HIGH.
`logid`	`metadata.product_log_id`	Diambil dari `logid`.
`type`	`metadata.product_event_type`	Diambil dari `type`.
`subtype`	`metadata.product_event_type`	Ditambahkan ke jenis.
`level`	`security_result.severity_details`	Diambil dari `level`.
T/A	`metadata.vendor_name`	Ditetapkan ke Fortinet.
T/A	`metadata.product_name`	Ditetapkan ke FortiAnalyzer.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.