Fortinet FortiAnalyzer のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このガイドでは、Bindplane を使用して Fortinet FortiAnalyzer のログを Google Security Operations に取り込む方法について説明します。
Fortinet FortiAnalyzer は、Fortinet Security Fabric デバイス向けの一元化されたログ管理、分析、レポート作成プラットフォームです。FortiGate ファイアウォール、FortiMail、FortiWeb、FortiSandbox、その他の Fortinet プロダクトからログを集約し、統合された可視性、イベントの関連付け、コンプライアンス レポートを提供します。FortiAnalyzer は、集約されたログを syslog 経由で外部の SIEM プラットフォームに転送して、さらに分析できます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス。
- Windows Server 2016 以降、または
systemdを搭載した Linux ホスト。 - Bindplane エージェントと FortiAnalyzer アプライアンス間のネットワーク接続。
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Fortinet FortiAnalyzer 管理コンソールへの特権アクセス(Super_User または同等の管理者ロール)。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] [>] [Collection Agents] に移動します。
- 取り込み認証ファイル をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quietインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.shインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスは active (running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
- Linux:
bash sudo nano /opt/observiq-otel-collector/config.yaml - Windows:
cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/fortianalyzer: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' # Replace with your actual customer ID from Step 2 customer_id: 'your-customer-id-here' endpoint: malachiteingestion-pa.googleapis.com log_type: FORTINET_FORTIANALYZER raw_log_field: body ingestion_labels: env: production service: pipelines: logs/fortianalyzer_to_chronicle: receivers: - tcplog exporters: - chronicle/fortianalyzer
構成パラメータ
- レシーバーの構成:
listen_address: リッスンする IP アドレスとポート。0.0.0.0を使用して、すべてのインターフェースでリッスンします。必要に応じてポートを変更します(例:1514)。
- エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps のお客様 ID。endpoint: リージョン エンドポイント URL(malachiteingestion-pa.googleapis.comなど)。ingestion_labels: YAML 形式の省略可能なラベル(env: productionなど)。
構成ファイルを保存する
編集したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [File] > [Save] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
- 管理者としてコマンド プロンプトまたは PowerShell を実行する。
net stop observiq-otel-collector && net start observiq-otel-collector- サービス コンソール:
Win+Rを押してservices.mscと入力し、Enter キーを押します。- [observIQ OpenTelemetry Collector] を探します。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
FortiAnalyzer syslog 転送を構成する
syslog 出力を使用して、ログを Bindplane エージェントに転送するように FortiAnalyzer を構成します。
FortiAnalyzer で syslog サーバーを構成する
- FortiAnalyzer ウェブ インターフェースにログインします。
- [System Settings] [>] [Log Forwarding] に移動します。
- [Create New] をクリックして、新しいログ転送ルールを追加します。
- 次の構成情報を提供してください。
- 名前: わかりやすい名前を入力します(例:
Chronicle-Bindplane)。 - ステータス: [有効] を選択します。
- Remote Server Type: [Syslog] を選択します。
- Server IP/FQDN: Bindplane エージェント ホストの IP アドレスを入力します。
- サーバー ポート:
514(または Bindplane エージェントで構成されたポート)を入力します。 - Reliable syslog (RFC 6587): TCP トランスポートを使用するには、[有効] を選択します。
- Log Forwarding Format: 要件に応じて [Default] または [CEF] を選択します。
- 名前: わかりやすい名前を入力します(例:
- [Log Filters] セクションで、転送するログタイプを構成します。
- ログの転送元となる ADOM (管理ドメイン)を選択します。
- 含めるデバイスタイプとログカテゴリ(トラフィック、イベント、セキュリティ、DNS、SSH、SSL ログ)を選択します。
- [OK] をクリックして構成を保存します。
ログ転送を確認する
- [System Settings] [>] [Log Forwarding] に移動します。
- 転送ルールのステータスが [有効] と表示されていることを確認します。
- [Statistics] 列をモニタリングして、ログが転送されていることを確認します。
- Bindplane エージェントのログを確認して、ログが受信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
devname |
principal.hostname |
devname から取得しました。 |
srcip |
principal.ip |
srcip から取得しました。 |
srcport |
principal.port |
整数に変換しました。 |
srcintf |
additional.fields |
キー: srcintf。 |
dstip |
target.ip |
dstip から取得しました。 |
dstport |
target.port |
整数に変換しました。 |
dstintf |
additional.fields |
キー: dstintf。 |
proto |
network.ip_protocol |
マッピング済み(6=TCP、17=UDP、1=ICMP)。 |
action |
security_result.action |
accept/pass → ALLOW; deny/drop/block → BLOCK. |
policyid |
security_result.rule_id |
policyid から取得しました。 |
policyname |
security_result.rule_name |
policyname から取得しました。 |
user |
principal.user.userid |
user から取得しました。 |
app |
target.application |
app から取得しました。 |
sentbyte |
network.sent_bytes |
符号なし整数に変換しました。 |
rcvdbyte |
network.received_bytes |
符号なし整数に変換しました。 |
severity |
security_result.severity |
information → INFORMATIONAL、warning → MEDIUM、error → ERROR、critical/alert/emergency → HIGH。 |
logid |
metadata.product_log_id |
logid から取得しました。 |
type |
metadata.product_event_type |
type から取得しました。 |
subtype |
metadata.product_event_type |
タイプに追加しました。 |
level |
security_result.severity_details |
level から取得しました。 |
| なし | metadata.vendor_name |
Fortinet に設定します。 |
| なし | metadata.product_name |
FortiAnalyzer に設定します。 |
変更履歴
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。