Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Fortinet FortiAnalyzer

Compatível com:

Google SecOps SIEM

Este guia explica como ingerir registros do Fortinet FortiAnalyzer no Google Security Operations usando o Bindplane.

O Fortinet FortiAnalyzer é uma plataforma centralizada de gerenciamento, análise e geração de relatórios de registros para dispositivos do Fortinet Security Fabric. Ele agrega registros de firewalls FortiGate, FortiMail, FortiWeb, FortiSandbox e outros produtos da Fortinet para oferecer visibilidade unificada, correlação de eventos e relatórios de conformidade. O FortiAnalyzer pode encaminhar registros agregados via syslog para plataformas SIEM externas para análise adicional.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps.
Windows Server 2016 ou mais recente ou host Linux com systemd.
Conectividade de rede entre o agente do Bindplane e o appliance do FortiAnalyzer.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao console de gerenciamento do Fortinet FortiAnalyzer (Super_User ou função de administrador equivalente).

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para outras opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir o syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux: bash sudo nano /opt/observiq-otel-collector/config.yaml
Windows: cmd notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/fortianalyzer:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    # Replace with your actual customer ID from Step 2
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIANALYZER
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/fortianalyzer_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/fortianalyzer

Parâmetros de configuração

Configuração do receptor:
- listen_address: endereço IP e porta para escutar. Use 0.0.0.0 para escutar em todas as interfaces. Mude a porta, se necessário (por exemplo, 1514).
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente do Google SecOps.
- endpoint: URL do endpoint regional (por exemplo, malachiteingestion-pa.googleapis.com).
- ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, depois Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reiniciar o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux:

Execute este comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Para reiniciar o agente do Bindplane no Windows:

Escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o observIQ OpenTelemetry Collector.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```

Verifique se há erros nos registros:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do FortiAnalyzer

Configure o FortiAnalyzer para encaminhar registros ao agente do Bindplane usando a saída do syslog.

Configurar o servidor syslog no FortiAnalyzer

Faça login na interface da Web do FortiAnalyzer.
Acesse Configurações do sistema > Encaminhamento de registros.
Clique em Criar novo para adicionar uma nova regra de encaminhamento de registros.
Forneça os seguintes detalhes de configuração:
- Nome: insira um nome descritivo (por exemplo, Chronicle-Bindplane).
- Status: selecione Ativar.
- Tipo de servidor remoto: selecione Syslog.
- IP/FQDN do servidor: insira o endereço IP do host do agente do Bindplane.
- Porta do servidor: insira 514 (ou a porta configurada no agente do Bindplane).
- Syslog confiável (RFC 6587): selecione Ativar para usar o transporte TCP.
- Formato de encaminhamento de registros: selecione Padrão ou CEF com base nos seus requisitos.
Na seção Filtros de registro, configure os tipos de registro a serem encaminhados:
- Selecione o ADOM (domínio administrativo) de onde encaminhar os registros.
- Selecione os tipos de dispositivo e as categorias de registro a serem incluídos (registros de tráfego, eventos, segurança, DNS, SSH, SSL).
Clique em OK para salvar a configuração.

Verificar o encaminhamento de registros

Acesse Configurações do sistema > Encaminhamento de registros.
Verifique se a regra de encaminhamento mostra o status como Ativado.
Monitore a coluna Estatísticas para confirmar se os registros estão sendo encaminhados.
Verifique se os registros estão sendo recebidos conferindo os registros do agente do Bindplane.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`devname`	`principal.hostname`	Extraído de `devname`.
`srcip`	`principal.ip`	Extraído de `srcip`.
`srcport`	`principal.port`	Convertido para número inteiro.
`srcintf`	`additional.fields`	Chave: `srcintf`.
`dstip`	`target.ip`	Extraído de `dstip`.
`dstport`	`target.port`	Convertido para número inteiro.
`dstintf`	`additional.fields`	Chave: `dstintf`.
`proto`	`network.ip_protocol`	Mapeado (6=TCP, 17=UDP, 1=ICMP).
`action`	`security_result.action`	`accept/pass` → ALLOW; `deny/drop/block` → BLOCK.
`policyid`	`security_result.rule_id`	Extraído de `policyid`.
`policyname`	`security_result.rule_name`	Extraído de `policyname`.
`user`	`principal.user.userid`	Extraído de `user`.
`app`	`target.application`	Extraído de `app`.
`sentbyte`	`network.sent_bytes`	Convertido para número inteiro não assinado.
`rcvdbyte`	`network.received_bytes`	Convertido para número inteiro não assinado.
`severity`	`security_result.severity`	`information` → INFORMATIONAL, `warning` → MEDIUM, `error` → ERROR, `critical/alert/emergency` → HIGH.
`logid`	`metadata.product_log_id`	Extraído de `logid`.
`type`	`metadata.product_event_type`	Extraído de `type`.
`subtype`	`metadata.product_event_type`	Anexado ao tipo.
`level`	`security_result.severity_details`	Extraído de `level`.
N/A	`metadata.vendor_name`	Definido como Fortinet.
N/A	`metadata.product_name`	Definido como FortiAnalyzer.

Registro de alterações

Ver o registro de alterações desse analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.