Mengumpulkan log FortiDDoS Fortinet

Panduan ini menjelaskan cara menyerap log Fortinet FortiDDoS ke Google Security Operations menggunakan agen Bindplane.

Fortinet FortiDDoS adalah alat mitigasi serangan DDoS yang melindungi jaringan dan aplikasi dari serangan distributed denial of service. FortiDDoS menyediakan deteksi serangan real-time, mitigasi otomatis, dan pelaporan mendetail untuk serangan di lapisan jaringan dan aplikasi.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps.
• Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Konektivitas jaringan antara agen Bindplane dan perangkat Fortinet FortiDDoS.
• Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane.
• Akses istimewa ke antarmuka web FortiDDoS dengan izin Baca-Tulis untuk setelan Log & Laporan.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Klik Download untuk mendownload file autentikasi penyerapan.

4. Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.

3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen BindPlane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. Tunggu hingga penginstalan selesai.

4. Verifikasi penginstalan dengan menjalankan:

   sc query observiq-otel-collector
   

   Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. Tunggu hingga penginstalan selesai.

4. Verifikasi penginstalan dengan menjalankan:

   sudo systemctl status observiq-otel-collector
   

   Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiddos:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIDDOS
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiddos_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiddos

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:

• listen_address: Alamat IP dan port yang akan diproses. Gunakan 0.0.0.0:514 untuk memantau semua antarmuka di port 514.

Konfigurasi eksportir:

• creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
  • Linux: /etc/bindplane-agent/ingestion-auth.json
  • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
• customer_id: ID Pelanggan dari langkah sebelumnya.
• endpoint: URL endpoint regional:
  • Amerika Serikat: malachiteingestion-pa.googleapis.com
  • Eropa: europe-malachiteingestion-pa.googleapis.com
  • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
• log_type: Harus FORTINET_FORTIDDOS.
• ingestion_labels: Label opsional dalam format YAML.

Simpan file konfigurasi

Setelah mengedit, simpan file:

• Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
• Windows: Klik File > Save

Mulai ulang agen BindPlane untuk menerapkan perubahan

• Linux

  sudo systemctl restart observiq-otel-collector
  

  1. Pastikan layanan sedang berjalan:

     sudo systemctl status observiq-otel-collector
     

  2. Periksa log untuk mengetahui error:

     sudo journalctl -u observiq-otel-collector -f
     

• Windows

  Pilih salah satu opsi berikut:

  • Menggunakan Command Prompt atau PowerShell sebagai administrator:

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • Menggunakan konsol Layanan:

    1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
    2. Temukan observIQ OpenTelemetry Collector.

    3. Klik kanan, lalu pilih Mulai Ulang.

    4. Pastikan layanan sedang berjalan:

       sc query observiq-otel-collector
       

    5. Periksa log untuk mengetahui error:

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Mengonfigurasi logging jarak jauh FortiDDoS Event Log

FortiDDoS mendukung dua jenis logging syslog jarak jauh: Log Peristiwa untuk peristiwa sistem dan Log Serangan untuk peristiwa serangan DDoS. Konfigurasi keduanya untuk mengirim log komprehensif ke Google SecOps.

1. Login ke antarmuka web FortiDDoS.
2. Buka Log & Laporan > Konfigurasi Log > Event Log Remote.
3. Klik Tambahkan untuk membuat konfigurasi server log jarak jauh baru.
4. Berikan detail konfigurasi berikut:
   • Name: Masukkan nama deskriptif (misalnya, Chronicle-Event-Logs).
   • Alamat: Masukkan alamat IP host agen Bindplane.
   • Port: Masukkan 514.
   • Level Log Minimum: Pilih tingkat keparahan minimum yang akan diteruskan (misalnya, Informasi atau Notifikasi).
   • Fasilitas: Pilih fasilitas syslog (misalnya, local0).
5. Klik Simpan untuk menyimpan konfigurasi.

Mengonfigurasi logging jarak jauh FortiDDoS Attack Log

Logging jarak jauh log serangan dikonfigurasi per Profil Perlindungan Layanan (SPP). Anda harus mengonfigurasi penerusan log serangan untuk setiap SPP yang ingin dipantau.

1. Login ke antarmuka web FortiDDoS.
2. Buka Log & Report > Log Configuration > Attack Log Remote.
3. Klik Tambahkan untuk membuat konfigurasi server log jarak jauh baru.
4. Berikan detail konfigurasi berikut:
   • Name: Masukkan nama deskriptif (misalnya, Chronicle-Attack-Logs).
   • SPP: Pilih Profil Perlindungan Layanan yang akan dikonfigurasi.
   • Alamat: Masukkan alamat IP host agen Bindplane.
   • Port: Masukkan 514.
   • Interval: Pilih interval pelaporan (misalnya, 1 menit atau 5 menit).
5. Klik Simpan untuk menyimpan konfigurasi.

6. Ulangi langkah 3 hingga 5 untuk setiap SPP yang ingin Anda pantau.

Memverifikasi penerusan syslog

Setelah mengonfigurasi logging jarak jauh, verifikasi bahwa log dikirim ke agen BindPlane:

1. Di host agen BindPlane, pantau traffic syslog masuk:

   Linux:

   sudo tcpdump -i any -n port 514
   

   Windows:

   Gunakan alat pemantauan jaringan atau periksa log agen BindPlane.

2. Di appliance FortiDDoS, buat pesan log pengujian:

   Pengujian log peristiwa:

   • Buat perubahan konfigurasi di antarmuka web FortiDDoS untuk membuat log peristiwa.

   Pengujian log serangan:

   • Tunggu interval pelaporan yang dikonfigurasi (1 atau 5 menit). FortiDDoS melaporkan secara berkala dan memerlukan waktu tambahan 2 menit untuk menggabungkan pelaporan. Misalnya, log yang dilaporkan untuk tanda 5 menit akan ditampilkan di server syslog pada tanda 7 menit.

3. Pastikan log muncul di konsol Google SecOps dalam waktu 5 hingga 10 menit.

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.