收集 Fortinet FortiDDoS 記錄

支援的國家/地區：

Google SecOps SIEM

本指南說明如何使用 Bindplane 代理程式，將 Fortinet FortiDDoS 記錄擷取至 Google Security Operations。

Fortinet FortiDDoS 是一種 DDoS 攻擊緩解裝置，可保護網路和應用程式免於分散式阻斷服務攻擊。FortiDDoS 可即時偵測攻擊、自動減輕攻擊影響，並針對網路和應用程式層級的攻擊提供詳細報表。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機。
Bindplane 代理程式與 Fortinet FortiDDoS 設備之間的網路連線。
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟。
具備 FortiDDoS 網頁介面的特殊權限，以及記錄和報告設定的讀寫權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
按一下「下載」即可下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，必須提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令來驗證安裝：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiddos:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIDDOS
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiddos_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiddos

設定參數

請替換下列預留位置：

接收器設定：

listen_address：要接聽的 IP 位址和通訊埠。使用 0.0.0.0:514 監聽通訊埠 514 上的所有介面。

匯出工具設定：

creds_file_path：擷取驗證檔案的完整路徑：
- Linux：/etc/bindplane-agent/ingestion-auth.json
- Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id：上一個步驟中的客戶 ID。
endpoint：區域端點網址：
- 美國：malachiteingestion-pa.googleapis.com
- 歐洲：europe-malachiteingestion-pa.googleapis.com
- 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
- 如需完整清單，請參閱「區域端點」。
log_type：必須為 FORTINET_FORTIDDOS。
ingestion_labels：YAML 格式的選用標籤。

儲存設定檔

編輯完成後，請儲存檔案：

Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

Linux

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

Windows

選擇下列其中一個選項：
- 以管理員身分使用命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 使用服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 FortiDDoS 事件記錄遠端記錄功能

FortiDDoS 支援兩種遠端 syslog 記錄：系統事件的事件記錄，以及 DDoS 攻擊事件的攻擊記錄。請同時設定這兩項功能，將完整記錄傳送至 Google SecOps。

登入 FortiDDoS 網頁介面。
依序前往「記錄與報表」>「記錄設定」>「事件記錄遠端」。
按一下「新增」，建立新的遠端記錄伺服器設定。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Chronicle-Event-Logs)。
- 位址：輸入 Bindplane 代理程式主機的 IP 位址。
- 「Port」(通訊埠)：輸入 514。
- 最低記錄層級：選取要轉送的最低嚴重性等級 (例如「資訊」或「通知」)。
- 設施：選取系統記錄設施 (例如 local0)。
按一下「儲存」，儲存設定。

設定 FortiDDoS Attack Log 遠端記錄功能

攻擊記錄遠端記錄功能是依據服務保護設定檔 (SPP) 設定。您必須為要監控的每個 SPP 設定攻擊記錄轉送功能。

登入 FortiDDoS 網頁介面。
依序前往「記錄和報表」>「記錄設定」>「攻擊記錄遠端」。
按一下「新增」，建立新的遠端記錄伺服器設定。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Chronicle-Attack-Logs)。
- SPP：選取要設定的服務保護設定檔。
- 位址：輸入 Bindplane 代理程式主機的 IP 位址。
- 「Port」(通訊埠)：輸入 514。
- 間隔：選取報表間隔 (例如 1 分鐘或 5 分鐘)。
按一下「儲存」，儲存設定。
針對要監控的每個 SPP，重複執行步驟 3 到 5。

注意： 每個 SPP 最多可有兩部遠端系統記錄檔伺服器。所有 SPP 都可以傳送至同一個系統記錄伺服器，但必須個別設定每個 SPP。

確認系統記錄檔轉送功能

設定遠端記錄後，請確認記錄是否傳送至 Bindplane 代理程式：

在 Bindplane 代理程式主機上，監控傳入的系統記錄流量：

Linux：
```
sudo tcpdump -i any -n port 514
```
Windows：

使用網路監控工具或檢查 Bindplane 代理程式記錄。
在 FortiDDoS 設備上產生測試記錄訊息：

事件記錄測試：
- 在 FortiDDoS 網頁介面中進行設定變更，產生事件記錄。
攻擊記錄測試：
- 等待設定的報告間隔 (1 或 5 分鐘)。FortiDDoS 會定期產生報表，並額外花費 2 分鐘彙整報表。舉例來說，系統會在 7 分鐘標記處，將 5 分鐘標記處的記錄回報給系統記錄伺服器。
確認記錄會在 5 到 10 分鐘內顯示在 Google SecOps 控制台中。

注意： FortiDDoS 使用 UDP Syslog，這是「即發即忘」通訊協定。設備不會知道系統記錄伺服器是否存在或是否接受記錄。請先確認 Bindplane 代理程式正在執行並監聽，再設定 FortiDDoS 傳送記錄。

UDM 對應表

記錄欄位	UDM 對應	邏輯
其他	其他	直接複製值
	additional.fields.additional_label.key	設為「type」
類型	additional.fields.additional_label.value.string_value	直接複製值
	additional.fields.src_label.key	設為「device_id」
devid	additional.fields.src_label.value.string_value	直接複製值
log_id	security_result.detection_fields.log_id_label.value	直接複製值
	security_result.detection_fields.log_id_label.key	設為「log_id」
中繼資料	中繼資料	直接複製值
desc_Data	metadata.description	直接複製值
sip、dip、user	metadata.event_type	如果 sip 和 dip 不為空白，則設為「NETWORK_CONNECTION」；如果使用者不為空白，則設為「USER_UNCATEGORIZED」；如果 sip 不為空白，則設為「STATUS_UPDATE」；否則設為「GENERIC_EVENT」
網路	網路	直接複製值
主體	主體	直接複製值
sip	principal.asset.ip	直接複製值
sip	principal.ip	直接複製值
date,time,tz	principal.labels.date_label.value	由日期、時間和時區串連而成，並以空格分隔
	principal.labels.date_label.key	設為「date」
dir	principal.labels.direction_label.value	直接複製值
	principal.labels.direction_label.key	設為「方向」
dport	principal.port	已轉換為整數
使用者	principal.user.userid	直接複製值
security_result	security_result	直接複製值
方向	security_result.detection_fields.direction_label.value	直接複製值
	security_result.detection_fields.direction_label.key	設為「方向」
dropcount	security_result.detection_fields.dropcount_label.value	直接複製值
	security_result.detection_fields.dropcount_label.key	設為「dropcount」
evecode	security_result.detection_fields.evecode_label.value	直接複製值
	security_result.detection_fields.evecode_label.key	設為「evecode」
evesubcode	security_result.detection_fields.evesubcode_label.value	直接複製值
	security_result.detection_fields.evesubcode_label.key	設為「evesubcode」
機構	security_result.detection_fields.facility_label.value	直接複製值
	security_result.detection_fields.facility_label.key	設為「設施」
level	security_result.detection_fields.level_label.value	直接複製值
	security_result.detection_fields.level_label.key	設為「level」
msg_id	security_result.detection_fields.msg_id_label.value	直接複製值
	security_result.detection_fields.msg_id_label.key	設為「msg_id」
spp_name	security_result.detection_fields.spp_name_label.value	直接複製值
	security_result.detection_fields.spp_name_label.key	設為「spp_name」
spp	security_result.detection_fields.spp_label.value	直接複製值
	security_result.detection_fields.spp_label.key	設為「spp」
sppoperatingmode	security_result.detection_fields.sppoperatingmode_label.value	直接複製值
	security_result.detection_fields.sppoperatingmode_label.key	設為「sppoperatingmode」
subnet_name	security_result.detection_fields.subnet_name_label.value	直接複製值
	security_result.detection_fields.subnet_name_label.key	設為「subnet_name」
subnetid	security_result.detection_fields.subnetid_label.value	直接複製值
	security_result.detection_fields.subnetid_label.key	設為「subnetid」
子類型	security_result.detection_fields.subtype_label.value	直接複製值
	security_result.detection_fields.subtype_label.key	設為「subtype」
目標	目標	直接複製值
dip	target.asset.ip	直接複製值
dip	target.ip	直接複製值

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。