Recopila registros de Fortinet FortiDDoS

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En esta guía, se explica cómo puedes transferir registros de Fortinet FortiDDoS a Google Security Operations con el agente de Bindplane.

Fortinet FortiDDoS es un dispositivo de mitigación de ataques DSD que protege las redes y las aplicaciones de los ataques de denegación de servicio distribuidos. FortiDDoS proporciona detección de ataques en tiempo real, mitigación automatizada y generación de informes detallados para ataques a nivel de la red y de la aplicación.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Es la instancia de Google SecOps.
Windows Server 2016 o versiones posteriores, o host de Linux con systemd.
Debe existir conectividad de red entre el agente de Bindplane y el dispositivo Fortinet FortiDDoS.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la interfaz web de FortiDDoS con permiso de lectura y escritura para la configuración de registros e informes

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agente de recopilación.
Haz clic en Descargar para descargar el archivo de autenticación de la transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir el syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiddos:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIDDOS
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiddos_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiddos

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:

listen_address: Es la dirección IP y el puerto que se escucharán. Usa 0.0.0.0:514 para escuchar en todas las interfaces del puerto 514.

Configuración del exportador:

creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: Es el ID de cliente del paso anterior.
endpoint: URL del extremo regional:
- EE.UU.: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
- Consulta Extremos regionales para obtener la lista completa.
log_type: Debe ser FORTINET_FORTIDDOS.
ingestion_labels: Son etiquetas opcionales en formato YAML.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Linux

sudo systemctl restart observiq-otel-collector

Verifica que el servicio esté en ejecución:

sudo systemctl status observiq-otel-collector

Revisa los registros en busca de errores:

sudo journalctl -u observiq-otel-collector -f

Windows

Elige una de las siguientes opciones:
- Con el símbolo del sistema o PowerShell como administrador, haz lo siguiente:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Usa la consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el registro remoto del registro de eventos de FortiDDoS

FortiDDoS admite dos tipos de registros syslog remotos: registros de eventos para eventos del sistema y registros de ataques para eventos de ataques DSD. Configura ambos para enviar registros integrales a Google SecOps.

Accede a la interfaz web de FortiDDoS.
Ve a Log & Report > Log Configuration > Event Log Remote.
Haz clic en Agregar para crear una nueva configuración del servidor de registros remoto.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Chronicle-Event-Logs).
- Dirección: Ingresa la dirección IP del host del agente de BindPlane.
- Puerto: Ingresa 514.
- Minimum Log Level: Selecciona el nivel de gravedad mínimo para reenviar (por ejemplo, Information o Notification).
- Facility: Selecciona una instalación de syslog (por ejemplo, local0).
Haz clic en Guardar para guardar la configuración.

Configura el registro remoto del registro de ataques de FortiDDoS

El registro remoto de registros de ataques se configura por perfil de protección de servicios (SPP). Debes configurar el reenvío de registros de ataques para cada SPP que desees supervisar.

Accede a la interfaz web de FortiDDoS.
Ve a Log & Report > Log Configuration > Attack Log Remote.
Haz clic en Agregar para crear una nueva configuración del servidor de registros remoto.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Chronicle-Attack-Logs).
- SPP: Selecciona el perfil de protección del servicio que deseas configurar.
- Dirección: Ingresa la dirección IP del host del agente de BindPlane.
- Puerto: Ingresa 514.
- Intervalo: Selecciona el intervalo del informe (por ejemplo, 1 minuto o 5 minutos).
Haz clic en Guardar para guardar la configuración.
Repite los pasos del 3 al 5 para cada SPP que quieras supervisar.

Nota: FortiDDoS permite hasta dos servidores syslog remotos por SPP. Todos los SPP pueden enviar datos al mismo servidor syslog, pero cada SPP debe configurarse de forma individual.

Verifica el reenvío de Syslog

Después de configurar el registro remoto, verifica que los registros se envíen al agente de BindPlane:

En el host del agente de BindPlane, supervisa el tráfico syslog entrante:

Linux:
```
sudo tcpdump -i any -n port 514
```
Windows:

Usa una herramienta de supervisión de red o revisa los registros del agente de BindPlane.
En el dispositivo FortiDDoS, genera mensajes de registro de prueba:

Prueba de registro de eventos:
- Realiza un cambio de configuración en la interfaz web de FortiDDoS para generar un registro de eventos.
Prueba de registro de ataques:
- Espera el intervalo de informes configurado (1 o 5 minutos). FortiDDoS genera informes a intervalos regulares y tarda 2 minutos adicionales en agregar los informes. Por ejemplo, los registros informados para la marca de 5 minutos se mostrarán en el servidor syslog en la marca de 7 minutos.
Verifica que los registros aparezcan en la consola de Google SecOps en un plazo de 5 a 10 minutos.

Nota: FortiDDoS usa syslog UDP, que es un protocolo de "disparar y olvidar". El dispositivo no sabe si el servidor syslog está presente o si acepta registros. Asegúrate de que el agente de BindPlane se esté ejecutando y escuchando antes de configurar FortiDDoS para que envíe registros.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
adicional	adicional	Valor copiado directamente
	additional.fields.additional_label.key	Se establece en "type".
tipo	additional.fields.additional_label.value.string_value	Valor copiado directamente
	additional.fields.src_label.key	Se establece en "device_id".
devid	additional.fields.src_label.value.string_value	Valor copiado directamente
log_id	security_result.detection_fields.log_id_label.value	Valor copiado directamente
	security_result.detection_fields.log_id_label.key	Se establece en "log_id".
metadatos	metadatos	Valor copiado directamente
desc_Data	metadata.description	Valor copiado directamente
sip,dip,user	metadata.event_type	Se establece en "NETWORK_CONNECTION" si sip y dip no están vacíos; de lo contrario, se establece en "USER_UNCATEGORIZED" si el usuario no está vacío, en "STATUS_UPDATE" si sip no está vacío o en "GENERIC_EVENT".
red	red	Valor copiado directamente
entidad	entidad	Valor copiado directamente
sip	principal.asset.ip	Valor copiado directamente
sip	principal.ip	Valor copiado directamente
date,time,tz	principal.labels.date_label.value	Fecha, hora y zona horaria concatenadas con espacios
	principal.labels.date_label.key	Se establece en "fecha".
dir	principal.labels.direction_label.value	Valor copiado directamente
	principal.labels.direction_label.key	Se estableció en "dirección"
dport	principal.port	Se convirtió a número entero
usuario	principal.user.userid	Valor copiado directamente
security_result	security_result	Valor copiado directamente
direction	security_result.detection_fields.direction_label.value	Valor copiado directamente
	security_result.detection_fields.direction_label.key	Se estableció en "dirección"
dropcount	security_result.detection_fields.dropcount_label.value	Valor copiado directamente
	security_result.detection_fields.dropcount_label.key	Se estableció en "dropcount"
evecode	security_result.detection_fields.evecode_label.value	Valor copiado directamente
	security_result.detection_fields.evecode_label.key	Se establece en "evecode".
evesubcode	security_result.detection_fields.evesubcode_label.value	Valor copiado directamente
	security_result.detection_fields.evesubcode_label.key	Se establece en "evesubcode".
instalación	security_result.detection_fields.facility_label.value	Valor copiado directamente
	security_result.detection_fields.facility_label.key	Se estableció en "facility"
level	security_result.detection_fields.level_label.value	Valor copiado directamente
	security_result.detection_fields.level_label.key	Se estableció en "level".
msg_id	security_result.detection_fields.msg_id_label.value	Valor copiado directamente
	security_result.detection_fields.msg_id_label.key	Se establece en "msg_id".
spp_name	security_result.detection_fields.spp_name_label.value	Valor copiado directamente
	security_result.detection_fields.spp_name_label.key	Se establece en "spp_name".
spp	security_result.detection_fields.spp_label.value	Valor copiado directamente
	security_result.detection_fields.spp_label.key	Se establece en "spp".
sppoperatingmode	security_result.detection_fields.sppoperatingmode_label.value	Valor copiado directamente
	security_result.detection_fields.sppoperatingmode_label.key	Se establece en "sppoperatingmode".
subnet_name	security_result.detection_fields.subnet_name_label.value	Valor copiado directamente
	security_result.detection_fields.subnet_name_label.key	Se establece en "subnet_name".
subnetid	security_result.detection_fields.subnetid_label.value	Valor copiado directamente
	security_result.detection_fields.subnetid_label.key	Se establece en "subnetid".
subtype	security_result.detection_fields.subtype_label.value	Valor copiado directamente
	security_result.detection_fields.subtype_label.key	Se establece en "subtipo".
objetivo	objetivo	Valor copiado directamente
inmersión	target.asset.ip	Valor copiado directamente
inmersión	target.ip	Valor copiado directamente

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.