Mengumpulkan log Fortinet FortiEDR

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Fortinet FortiEDR ke Google Security Operations menggunakan agen Bindplane atau Google Cloud Storage V2.

Fortinet FortiEDR adalah solusi deteksi dan respons endpoint yang memberikan perlindungan real-time, respons insiden otomatis, dan kecerdasan ancaman untuk endpoint di seluruh organisasi.

Perbedaan metode pengumpulan

Panduan ini menyediakan dua metode pengumpulan:

Opsi 1: Syslog melalui agen Bindplane: FortiEDR mengirim pesan syslog ke agen Bindplane, yang meneruskan log ke Google SecOps. Direkomendasikan untuk penyerapan log real-time dengan infrastruktur minimal.
Opsi 2: Syslog ke GCS melalui Cloud Function: FortiEDR mengirim pesan syslog ke Cloud Function, yang menulis log ke GCS untuk penyerapan Google SecOps. Direkomendasikan untuk penyimpanan log terpusat dan pemrosesan batch.

Pilih metode yang paling sesuai dengan infrastruktur dan persyaratan Anda.

Opsi 1: Mengumpulkan log Fortinet FortiEDR menggunakan agen BindPlane

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan Fortinet FortiEDR Central Manager
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol pengelolaan Fortinet FortiEDR
FortiEDR versi 5.0 atau yang lebih baru

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Klik Download untuk mendownload file autentikasi penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi eksportir agen Bindplane.

Menginstal agen BindPlane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiedr:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORTINET_FORTIEDR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/fortiedr_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/fortiedr

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:

listen_address: Alamat IP dan port yang akan diproses. Gunakan 0.0.0.0:514 untuk memantau semua antarmuka di port 514.

Konfigurasi eksportir:

creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: ID Pelanggan dari langkah sebelumnya.
endpoint: URL endpoint regional:
- Amerika Serikat: malachiteingestion-pa.googleapis.com
- Eropa: europe-malachiteingestion-pa.googleapis.com
- Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
ingestion_labels: Label opsional dalam format YAML.

Simpan file konfigurasi

Setelah mengedit, simpan file:

Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Windows: Klik File > Save

Mulai ulang agen BindPlane untuk menerapkan perubahan

Linux

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Windows

Pilih salah satu opsi berikut:
- Menggunakan Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Menggunakan konsol Layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan syslog Fortinet FortiEDR

Mengonfigurasi tujuan syslog

Login ke konsol FortiEDR Central Manager.
Buka Administrasi > Setelan Ekspor > Syslog.
Klik tombol Define New Syslog.
Di kolom Syslog Name, masukkan nama deskriptif (misalnya, Chronicle-Integration).
Di kolom Host, masukkan alamat IP host agen Bindplane.
Di kolom Port, masukkan 514.
Di dropdown Protocol, pilih TCP.
Di dropdown Format, pilih Titik koma (format default dengan kolom yang dipisahkan titik koma).
Klik tombol Uji untuk menguji koneksi ke agen Bindplane.
Pastikan pengujian berhasil.
Klik tombol Simpan untuk menyimpan tujuan syslog.

Mengaktifkan notifikasi syslog per jenis peristiwa

Di halaman Syslog, pilih baris tujuan syslog yang baru saja Anda buat.
Di panel NOTIFIKASI di sebelah kanan, gunakan penggeser untuk mengaktifkan atau menonaktifkan tujuan per jenis peristiwa:
- Peristiwa sistem: Aktifkan untuk mengirim peristiwa kesehatan sistem FortiEDR.
- Peristiwa keamanan: Aktifkan untuk mengirimkan penggabungan peristiwa keamanan.
- Jalur audit: Aktifkan untuk mengirim peristiwa log audit.
Untuk setiap jenis peristiwa yang diaktifkan, klik tombol di sebelah kanan jenis peristiwa.
Centang kotak untuk kolom yang ingin Anda sertakan dalam pesan syslog.
Klik Simpan.

Mengonfigurasi notifikasi playbook

Pesan syslog hanya dikirim untuk peristiwa keamanan yang terjadi di perangkat yang ditetapkan ke kebijakan Playbook dengan opsi Kirim Notifikasi Syslog diaktifkan.

Buka Setelan Keamanan > Playbook.
Pilih kebijakan playbook yang berlaku untuk perangkat yang ingin Anda pantau (misalnya, Default Playbook).
Di bagian Notifikasi, cari baris Syslog.
Aktifkan opsi Kirim Notifikasi Syslog dengan mencentang kotak untuk klasifikasi peristiwa yang ingin Anda kirim:
- Berbahaya: Peristiwa keamanan yang diklasifikasikan sebagai berbahaya.
- Mencurigakan: Peristiwa keamanan yang diklasifikasikan sebagai mencurigakan.
- PUP: Program yang berpotensi tidak diinginkan.
- Tidak konklusif: Acara dengan klasifikasi yang tidak konklusif.
- Kemungkinan Aman: Peristiwa yang diklasifikasikan sebagai kemungkinan aman (opsional).
Klik Simpan.

Catatan: SMTP, Syslog, dan Open Ticket harus sudah dikonfigurasi di Administration > Export Settings sebelum notifikasi dapat dikirim dari playbook.

Opsi 2: Mengumpulkan log Fortinet FortiEDR menggunakan GCS

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke konsol pengelolaan Fortinet FortiEDR
FortiEDR versi 5.0 atau yang lebih baru

Membuat bucket Google Cloud Storage

Buka Konsol Google Cloud.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `fortiedr-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Location	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Create.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan fortiedr-syslog-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect FortiEDR syslog logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Done.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, fortiedr-syslog-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan fortiedr-syslog-trigger.
- Biarkan setelan lainnya tetap default.
Klik Create.

Membuat fungsi Cloud Run untuk menerima syslog

Fungsi Cloud Run akan menerima pesan syslog dari FortiEDR melalui HTTP dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan fortiedr-syslog-collector

Region Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih HTTPS.
3. Di Authentication, pilih Allow unauthenticated invocations.
4. Klik Simpan.
Catatan: Fungsi akan menerima pesan syslog melalui HTTP POST dari FortiEDR.
Scroll ke dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (fortiedr-syslog-collector-sa).
Buka tab Containers:
1. Klik Variables & Secrets.
2. Klik + Tambahkan variabel untuk setiap variabel lingkungan:
  
  Nama Variabel Nilai Contoh Deskripsi
  
  GCS_BUCKET fortiedr-logs Nama bucket GCS
  
  GCS_PREFIX fortiedr-syslog Awalan untuk file log
Di bagian Variabel & Secret, scroll ke Permintaan:
- Waktu tunggu permintaan: Masukkan 60 detik.
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 256 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 10 (atau sesuaikan berdasarkan perkiraan beban).
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Setelan	Nilai
Nama layanan	`fortiedr-syslog-collector`
Region	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`fortiedr-logs`	Nama bucket GCS
`GCS_PREFIX`	`fortiedr-syslog`	Awalan untuk file log

Menambahkan kode fungsi

Masukkan main di kolom Entry point.

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
from datetime import datetime, timezone
from flask import Request

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'fortiedr-syslog')

@functions_framework.http
def main(request: Request):
    """
    Cloud Run function to receive syslog messages from FortiEDR and write to GCS.

    Args:
        request: Flask Request object containing syslog message
    """

    if not GCS_BUCKET:
        print('Error: Missing GCS_BUCKET environment variable')
        return ('Missing GCS_BUCKET environment variable', 500)

    try:
        # Get request body
        request_data = request.get_data(as_text=True)

        if not request_data:
            print('Warning: Empty request body')
            return ('Empty request body', 400)

        # Parse syslog messages (one per line)
        lines = request_data.strip().split('\n')

        if not lines:
            print('Warning: No syslog messages found')
            return ('No syslog messages found', 400)

        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Write to GCS as NDJSON
        now = datetime.now(timezone.utc)
        timestamp = now.strftime('%Y%m%d_%H%M%S_%f')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        # Convert each line to JSON object with raw syslog message
        records = []
        for line in lines:
            if line.strip():
                records.append({'raw': line.strip(), 'timestamp': now.isoformat()})

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        return (f"Successfully processed {len(records)} records", 200)

    except Exception as e:
        print(f'Error processing syslog: {str(e)}')
        return (f'Error processing syslog: {str(e)}', 500)

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
flask==3.*

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Setelah deployment, buka tab Pemicu dan salin URL Pemicu (misalnya, https://fortiedr-syslog-collector-abc123-uc.a.run.app).

Catatan: Simpan URL ini untuk mengonfigurasi penerusan syslog FortiEDR.

Mengonfigurasi penerusan syslog Fortinet FortiEDR ke Cloud Function

Mengonfigurasi tujuan syslog

Login ke konsol FortiEDR Central Manager.
Buka Administrasi > Setelan Ekspor > Syslog.
Klik tombol Define New Syslog.
Di kolom Syslog Name, masukkan nama deskriptif (misalnya, Chronicle-GCS-Integration).
Di kolom Host, masukkan nama host URL pemicu Cloud Function (misalnya, fortiedr-syslog-collector-abc123-uc.a.run.app).
Di kolom Port, masukkan 443.
Di dropdown Protocol, pilih TCP.
Di dropdown Format, pilih Titik koma (format default dengan kolom yang dipisahkan titik koma).
Klik tombol Test untuk menguji koneksi ke Cloud Function.
Pastikan pengujian berhasil.
Klik tombol Simpan untuk menyimpan tujuan syslog.

Catatan: FortiEDR akan mengirim pesan syslog ke Cloud Function melalui HTTPS di port 443.

Mengaktifkan notifikasi syslog per jenis peristiwa

Di halaman Syslog, pilih baris tujuan syslog yang baru saja Anda buat.
Di panel NOTIFIKASI di sebelah kanan, gunakan penggeser untuk mengaktifkan atau menonaktifkan tujuan per jenis peristiwa:
- Peristiwa sistem: Aktifkan untuk mengirim peristiwa kesehatan sistem FortiEDR.
- Peristiwa keamanan: Aktifkan untuk mengirimkan penggabungan peristiwa keamanan.
- Jalur audit: Aktifkan untuk mengirim peristiwa log audit.
Untuk setiap jenis peristiwa yang diaktifkan, klik tombol di sebelah kanan jenis peristiwa.
Centang kotak untuk kolom yang ingin Anda sertakan dalam pesan syslog.
Klik Simpan.

Mengonfigurasi notifikasi playbook

Pesan syslog hanya dikirim untuk peristiwa keamanan yang terjadi di perangkat yang ditetapkan ke kebijakan Playbook dengan opsi Kirim Notifikasi Syslog diaktifkan.

Buka Setelan Keamanan > Playbook.
Pilih kebijakan playbook yang berlaku untuk perangkat yang ingin Anda pantau (misalnya, Default Playbook).
Di bagian Notifikasi, cari baris Syslog.
Aktifkan opsi Kirim Notifikasi Syslog dengan mencentang kotak untuk klasifikasi peristiwa yang ingin Anda kirim:
- Berbahaya: Peristiwa keamanan yang diklasifikasikan sebagai berbahaya.
- Mencurigakan: Peristiwa keamanan yang diklasifikasikan sebagai mencurigakan.
- PUP: Program yang berpotensi tidak diinginkan.
- Tidak konklusif: Acara dengan klasifikasi yang tidak konklusif.
- Kemungkinan Aman: Peristiwa yang diklasifikasikan sebagai kemungkinan aman (opsional).
Klik Simpan.

Catatan: SMTP, Syslog, dan Open Ticket harus sudah dikonfigurasi di Administration > Export Settings sebelum notifikasi dapat dikirim dari playbook.

Menguji integrasi

Di konsol FortiEDR Central Manager, buka Administration > Export Settings > Syslog.
Pilih baris tujuan syslog.
Klik tombol Test untuk mengirim pesan pengujian.
Buka Cloud Run > Services di GCP Console.
Klik nama fungsi (fortiedr-syslog-collector).
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari:

Wrote X records to gs://fortiedr-logs/fortiedr-syslog/logs_YYYYMMDD_HHMMSS_MMMMMM.ndjson
Successfully processed X records

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (fortiedr-syslog/).
Pastikan file .ndjson baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

Isi permintaan kosong: FortiEDR tidak mengirim data ke Cloud Function
Variabel lingkungan GCS_BUCKET tidak ada: Periksa apakah variabel lingkungan telah ditetapkan
Izin ditolak: Verifikasi bahwa akun layanan memiliki peran Storage Object Admin di bucket

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Mengonfigurasi feed di Google SecOps untuk menyerap log Fortinet FortiEDR

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, FortiEDR Syslog Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Fortinet FortiEDR sebagai Jenis log.
Klik Get Service Account.

Email akun layanan yang unik akan ditampilkan, misalnya:

chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

Salin alamat email ini. Anda akan menggunakannya pada langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://fortiedr-logs/fortiedr-syslog/
```
  Ganti:
  - fortiedr-logs: Nama bucket GCS Anda.
  - fortiedr-syslog: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
  Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
  Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Negara	target.location.country_or_region	Nilai disalin secara langsung jika bukan N/A atau kosong
srccountry	principal.location.country_or_region	Nilai disalin secara langsung jika tidak Dicadangkan atau kosong
dstcountry	target.location.country_or_region	Nilai disalin secara langsung jika tidak kosong
srcip	principal.ip	Nilai disalin secara langsung
dstip	target.ip	Nilai disalin secara langsung jika bukan N/A
Tujuan	target.ip	Diekstrak sebagai IP dari Tujuan jika valid
dst	target.ip	Diekstrak sebagai IP dari dst jika valid
srcmac	principal.mac	Nilai disalin secara langsung
dstosname	target.platform	Disetel ke LINUX jika cocok dengan LINUX; WINDOWS jika cocok dengan WINDOWS; MAC jika cocok dengan MAC
srcport	principal.port	Dikonversi ke bilangan bulat
dstport	target.port	Dikonversi ke bilangan bulat
spt	principal.port	Dikonversi ke bilangan bulat
dpt	target.port	Dikonversi ke bilangan bulat
sessionid	network.session_id	Nilai disalin secara langsung
sentbyte	network.sent_bytes	Dikonversi menjadi bilangan bulat tidak bertanda
rcvdbyte	network.received_bytes	Dikonversi menjadi bilangan bulat tidak bertanda
durasi	network.session_duration.seconds	Dikonversi ke bilangan bulat
tindakan	security_result.summary	Nilai disalin secara langsung
level	security_result.severity_details	Ditetapkan ke "level: %{level}"
policyid	security_result.rule_id	Nilai disalin secara langsung
policyname	security_result.rule_name	Nilai disalin secara langsung
policytype	security_result.rule_type	Nilai disalin secara langsung
pelanggan	target.application	Nilai disalin secara langsung
intermediary_ip	target.ip	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
perantara	perantara	Nilai disalin secara langsung
devname	target.hostname	Nilai disalin secara langsung
server_host	target.hostname	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
server_host	intermediary.hostname	Nilai disalin langsung sebagai label jika bukan Audit atau loginStatus
deviceInformation	target.resource.name, target.resource.resource_type	Mengekstrak device_name dan menetapkan resource_type ke DEVICE
component_name	additional.fields	Tetapkan sebagai label dengan kunci "Nama Komponen"
process_name	principal.application	Nilai disalin secara langsung
Jalur Proses	target.file.full_path	Nilai disalin secara langsung
asset_os	target.platform	Setel ke WINDOWS jika cocok dengan .Windows.; LINUX jika cocok dengan .Linux.
os_version	target.platform_version	Diekstrak dari asset_os
asset_os	principal.platform	Setel ke WINDOWS jika cocok dengan .Windows.; LINUX jika cocok dengan .Linux.
os_version	principal.platform_version	Diekstrak dari asset_os
usr_name	userId	Nilai disalin secara langsung
Pengguna	userId	Nilai disalin langsung jika bukan WG atau ADDC
id	userId	Nilai disalin secara langsung
userId	target.user.userid	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
userId	principal.user.userid	Nilai disalin secara langsung jika bukan Audit atau loginStatus
userDisplayName	target.user.user_display_name	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
userDisplayName	principal.user.user_display_name	Nilai disalin secara langsung jika bukan Audit atau loginStatus
userPrincipalName	principal.user.userid	Nilai disalin secara langsung
Deskripsi	metadata.description	Nilai disalin secara langsung jika tidak kosong
Detail	metadata.description	Nilai disalin secara langsung jika tidak kosong
mfaResult	metadata.description	Nilai disalin secara langsung jika tidak kosong
data7	metadata.description	Nilai disalin secara langsung jika tidak kosong
message_type	metadata.description	Nilai disalin secara langsung jika description_details kosong
src_ip, srcip	principal.ip	Nilai dari src_ip jika tidak kosong, jika tidak src, jika tidak Source, jika tidak ipAddress
src_ip	principal.ip	Diekstrak sebagai IP dari src_ip jika valid
mac_address	principal.mac	Diproses sebagai array, dikonversi ke huruf kecil, digabungkan jika MAC valid
event_id	target.process.pid	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
event_id	metadata.product_log_id	Nilai disalin secara langsung jika bukan Audit atau loginStatus
event_type	metadata.event_type	Nilai disalin secara langsung
Keparahan	security_result.severity	Disetel ke INFORMATIONAL jika Rendah atau kosong; MEDIUM jika Sedang; HIGH jika Tinggi; CRITICAL jika Kritis
Tindakan	security_result.action	Disetel ke ALLOW jika cocok dengan (?i)Allow; BLOCK jika cocok dengan (?i)Block; jika tidak, action_details
security_action	security_result.action	Nilai disalin secara langsung
Aturan	rules	Nilai disalin secara langsung
rules	security_result.rule_name	Nilai disalin secara langsung
Klasifikasi	security_result.summary	Nilai disalin secara langsung
Pertama Terlihat	security_result.detection_fields	Tetapkan sebagai label dengan kunci "Pertama Kali Terlihat"
Terakhir Terlihat	security_result.detection_fields	Tetapkan sebagai label dengan kunci "Terakhir Terlihat"
Organisasi	target.administrative_domain	Nilai disalin langsung jika message_type adalah Audit atau loginStatus tidak kosong
Organisasi	additional.fields	Ditetapkan sebagai label dengan kunci "Organization" jika bukan Audit atau loginStatus
security_result	security_result	Digabungkan dari sec_result
	metadata.vendor_name	Ditetapkan ke "FORTINET"
	metadata.product_name	Tetapkan ke "FORTINET_FORTIEDR"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.