Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Fortinet FortiAnalyzer

Supportato in:

Google SecOps SIEM

Questa guida spiega come importare i log di Fortinet FortiAnalyzer in Google Security Operations utilizzando Bindplane.

Fortinet FortiAnalyzer è una piattaforma centralizzata di gestione, analisi e generazione di report dei log per i dispositivi Fortinet Security Fabric. Aggrega i log di firewall FortiGate, FortiMail, FortiWeb, FortiSandbox e altri prodotti Fortinet per fornire visibilità unificata, correlazione degli eventi e report di conformità. FortiAnalyzer può inoltrare i log aggregati tramite syslog a piattaforme SIEM esterne per ulteriori analisi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps.
Windows Server 2016 o versioni successive oppure host Linux con systemd.
Connettività di rete tra l'agente Bindplane e l'appliance FortiAnalyzer.
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso privilegiato alla console di gestione Fortinet FortiAnalyzer (Super_User o ruolo di amministratore equivalente).

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux: bash sudo nano /opt/observiq-otel-collector/config.yaml
Windows: cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fortianalyzer:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    # Replace with your actual customer ID from Step 2
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIANALYZER
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fortianalyzer_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/fortianalyzer

Parametri di configurazione

Configurazione del ricevitore:
- listen_address: l'indirizzo IP e la porta su cui ascoltare. Utilizza 0.0.0.0 per ascoltare su tutte le interfacce. Modifica la porta se necessario (ad esempio, 1514).
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: il tuo ID cliente Google SecOps.
- endpoint: URL dell'endpoint regionale (ad es. malachiteingestion-pa.googleapis.com).
- ingestion_labels: etichette facoltative in formato YAML (ad esempio, env: production).

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:

Scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```

Controlla i log per individuare eventuali errori:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di Syslog di FortiAnalyzer

Configura FortiAnalyzer per inoltrare i log all'agente Bindplane utilizzando l'output syslog.

Configurare il server syslog in FortiAnalyzer

Accedi all'interfaccia web di FortiAnalyzer.
Vai a Impostazioni di sistema > Inoltro log.
Fai clic su Crea nuovo per aggiungere una nuova regola di forwarding dei log.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio, Chronicle-Bindplane).
- Stato: seleziona Attiva.
- Tipo di server remoto: seleziona Syslog.
- IP/FQDN del server: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta server: inserisci 514 (o la porta configurata nell'agente Bindplane).
- Syslog affidabile (RFC 6587): seleziona Abilita per utilizzare il trasporto TCP.
- Formato inoltro log: seleziona Predefinito o CEF in base ai tuoi requisiti.
Nella sezione Filtri log, configura i tipi di log da inoltrare:
- Seleziona l'ADOM (Administrative Domain) da cui inoltrare i log.
- Seleziona i tipi di dispositivo e le categorie di log da includere (log di traffico, eventi, sicurezza, DNS, SSH, SSL).
Fai clic su Ok per salvare la configurazione.

Verificare l'inoltro dei log

Vai a Impostazioni di sistema > Inoltro log.
Verifica che la regola di forwarding mostri lo stato Attivata.
Monitora la colonna Statistiche per verificare che i log vengano inoltrati.
Verifica che i log vengano ricevuti controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`devname`	`principal.hostname`	Estratto da `devname`.
`srcip`	`principal.ip`	Estratto da `srcip`.
`srcport`	`principal.port`	Convertito in numero intero.
`srcintf`	`additional.fields`	Chiave: `srcintf`.
`dstip`	`target.ip`	Estratto da `dstip`.
`dstport`	`target.port`	Convertito in numero intero.
`dstintf`	`additional.fields`	Chiave: `dstintf`.
`proto`	`network.ip_protocol`	Mappato (6=TCP, 17=UDP, 1=ICMP).
`action`	`security_result.action`	`accept/pass` → CONSENTI; `deny/drop/block` → BLOCCA.
`policyid`	`security_result.rule_id`	Estratto da `policyid`.
`policyname`	`security_result.rule_name`	Estratto da `policyname`.
`user`	`principal.user.userid`	Estratto da `user`.
`app`	`target.application`	Estratto da `app`.
`sentbyte`	`network.sent_bytes`	Convertito in numero intero senza segno.
`rcvdbyte`	`network.received_bytes`	Convertito in numero intero senza segno.
`severity`	`security_result.severity`	`information` → INFORMATIONAL, `warning` → MEDIUM, `error` → ERROR, `critical/alert/emergency` → HIGH.
`logid`	`metadata.product_log_id`	Estratto da `logid`.
`type`	`metadata.product_event_type`	Estratto da `type`.
`subtype`	`metadata.product_event_type`	Aggiunto al tipo.
`level`	`security_result.severity_details`	Estratto da `level`.
N/D	`metadata.vendor_name`	Imposta su Fortinet.
N/D	`metadata.product_name`	Imposta su FortiAnalyzer.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.