Raccogliere i log di Fortinet FortiEDR

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Fortinet FortiEDR in Google Security Operations utilizzando Google Cloud Storage V2 o l'agente Bindplane.

Fortinet FortiEDR è una soluzione di rilevamento e risposta degli endpoint che fornisce protezione in tempo reale, risposta automatizzata agli incidenti e intelligence sulle minacce per gli endpoint di un'organizzazione.

Differenze nel metodo di raccolta

Questa guida fornisce due metodi di raccolta:

Opzione 1: Syslog tramite l'agente Bindplane: FortiEDR invia messaggi syslog all'agente Bindplane, che inoltra i log a Google SecOps. Opzione consigliata per l'importazione di log in tempo reale con un'infrastruttura minima.
Opzione 2: Syslog a GCS tramite Cloud Function: FortiEDR invia messaggi syslog a una Cloud Function, che scrive i log in GCS per l'importazione di Google SecOps. Consigliato per l'archiviazione centralizzata dei log e l'elaborazione batch.

Scegli il metodo più adatto alla tua infrastruttura e ai tuoi requisiti.

Opzione 1: raccogli i log di Fortinet FortiEDR utilizzando l'agente Bindplane

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Fortinet FortiEDR Central Manager
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi alla console di gestione Fortinet FortiEDR
FortiEDR versione 5.0 o successive

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Fai clic su Scarica per scaricare il file di autenticazione dell'importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo il comando:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiedr:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORTINET_FORTIEDR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/fortiedr_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/fortiedr

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:

listen_address: indirizzo IP e porta su cui ascoltare. Utilizza 0.0.0.0:514 per ascoltare su tutte le interfacce sulla porta 514.

Configurazione dell'esportatore:

creds_file_path: percorso completo del file di autenticazione importazione:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: l'ID cliente del passaggio precedente.
endpoint: URL endpoint regionale:
- Stati Uniti: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
ingestion_labels: etichette facoltative in formato YAML.

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Linux

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

sudo journalctl -u observiq-otel-collector -f

Windows

Scegli una delle seguenti opzioni:
- Utilizzando il prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Utilizzo della console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog di Fortinet FortiEDR

Configura la destinazione syslog

Accedi alla console di FortiEDR Central Manager.
Vai ad Amministrazione > Impostazioni di esportazione > Syslog.
Fai clic sul pulsante Definisci nuovo syslog.
Nel campo Nome Syslog, inserisci un nome descrittivo (ad esempio, Chronicle-Integration).
Nel campo Host, inserisci l'indirizzo IP dell'host dell'agente Bindplane.
Nel campo Porta, inserisci 514.
Nel menu a discesa Protocollo, seleziona TCP.
Nel menu a discesa Formato, seleziona Punto e virgola (formato predefinito con campi separati da punto e virgola).
Fai clic sul pulsante Testa per testare la connessione all'agente Bindplane.
Verifica che il test sia riuscito.
Fai clic sul pulsante Salva per salvare la destinazione syslog.

Attivare le notifiche syslog per tipo di evento

Nella pagina Syslog, seleziona la riga della destinazione syslog appena creata.
Nel riquadro NOTIFICHE a destra, utilizza i cursori per attivare o disattivare la destinazione per tipo di evento:
- Eventi di sistema: attiva questa opzione per inviare eventi di integrità del sistema FortiEDR.
- Eventi di sicurezza: attiva questa opzione per inviare aggregazioni di eventi di sicurezza.
- Audit trail: abilita l'invio degli eventi del log di controllo.
Per ogni tipo di evento abilitato, fai clic sul pulsante a destra del tipo di evento.
Seleziona le caselle di controllo per i campi che vuoi includere nei messaggi syslog.
Fai clic su Salva.

Configurare le notifiche dei playbook

I messaggi Syslog vengono inviati solo per gli eventi di sicurezza che si verificano sui dispositivi assegnati a una policy di Playbook con l'opzione Invia notifica Syslog attivata.

Vai a Impostazioni di sicurezza > Playbook.
Seleziona il criterio del playbook che si applica ai dispositivi che vuoi monitorare (ad esempio Playbook predefinito).
Nella sezione Notifiche, individua la riga Syslog.
Attiva l'opzione Invia notifica Syslog selezionando le caselle di controllo per le classificazioni degli eventi che vuoi inviare:
- Dannoso: eventi di sicurezza classificati come dannosi.
- Sospetti: eventi di sicurezza classificati come sospetti.
- PUP: programmi potenzialmente indesiderati.
- Indeterminato: eventi con classificazione indeterminata.
- Probabilmente sicuro: eventi classificati come probabilmente sicuri (facoltativo).
Fai clic su Salva.

Nota: SMTP, Syslog e Open Ticket devono essere già configurati in Amministrazione > Impostazioni di esportazione prima che le notifiche possano essere inviate dai playbook.

Opzione 2: raccogliere i log di Fortinet FortiEDR utilizzando GCS

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso con privilegi alla console di gestione Fortinet FortiEDR
FortiEDR versione 5.0 o successive

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `fortiedr-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea account di servizio.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci fortiedr-syslog-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect FortiEDR syslog logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. fortiedr-syslog-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci fortiedr-syslog-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per ricevere syslog

La funzione Cloud Run riceverà i messaggi syslog da FortiEDR tramite HTTP e li scriverà in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`fortiedr-syslog-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Tempo di esecuzione	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona HTTPS.
3. In Autenticazione, seleziona Consenti chiamate non autenticate.
4. Fai clic su Salva.
Nota: la funzione riceverà messaggi syslog tramite HTTP POST da FortiEDR.
Scorri fino a Container, networking, sicurezza ed espandi la sezione.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account (fortiedr-syslog-collector-sa).
Vai alla scheda Container:
1. Fai clic su Variabili e secret.
2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
  
  Nome variabile Valore di esempio Descrizione
  
  GCS_BUCKET fortiedr-logs Nome bucket GCS
  
  GCS_PREFIX fortiedr-syslog Prefisso per i file di log
Nella sezione Variabili e secret, scorri fino a Richieste:
- Timeout richiesta: inserisci 60 secondi.
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
  - Memoria: seleziona 256 MiB o un valore superiore.
  - CPU: seleziona 1.
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 10 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`fortiedr-logs`	Nome bucket GCS
`GCS_PREFIX`	`fortiedr-syslog`	Prefisso per i file di log

Aggiungi codice per la funzione

Inserisci main nel campo Entry point (Punto di ingresso).

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
from datetime import datetime, timezone
from flask import Request

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'fortiedr-syslog')

@functions_framework.http
def main(request: Request):
    """
    Cloud Run function to receive syslog messages from FortiEDR and write to GCS.

    Args:
        request: Flask Request object containing syslog message
    """

    if not GCS_BUCKET:
        print('Error: Missing GCS_BUCKET environment variable')
        return ('Missing GCS_BUCKET environment variable', 500)

    try:
        # Get request body
        request_data = request.get_data(as_text=True)

        if not request_data:
            print('Warning: Empty request body')
            return ('Empty request body', 400)

        # Parse syslog messages (one per line)
        lines = request_data.strip().split('\n')

        if not lines:
            print('Warning: No syslog messages found')
            return ('No syslog messages found', 400)

        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Write to GCS as NDJSON
        now = datetime.now(timezone.utc)
        timestamp = now.strftime('%Y%m%d_%H%M%S_%f')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        # Convert each line to JSON object with raw syslog message
        records = []
        for line in lines:
            if line.strip():
                records.append({'raw': line.strip(), 'timestamp': now.isoformat()})

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        return (f"Successfully processed {len(records)} records", 200)

    except Exception as e:
        print(f'Error processing syslog: {str(e)}')
        return (f'Error processing syslog: {str(e)}', 500)

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
flask==3.*

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).
Dopo il deployment, vai alla scheda Trigger e copia l'URL trigger (ad esempio, https://fortiedr-syslog-collector-abc123-uc.a.run.app).

Nota: salva questo URL per configurare l'inoltro di syslog di FortiEDR.

Configura l'inoltro di syslog di Fortinet FortiEDR a Cloud Function

Configura la destinazione syslog

Accedi alla console di FortiEDR Central Manager.
Vai ad Amministrazione > Impostazioni di esportazione > Syslog.
Fai clic sul pulsante Definisci nuovo syslog.
Nel campo Nome Syslog, inserisci un nome descrittivo (ad esempio, Chronicle-GCS-Integration).
Nel campo Host, inserisci il nome host dell'URL trigger di Cloud Function (ad esempio, fortiedr-syslog-collector-abc123-uc.a.run.app).
Nel campo Porta, inserisci 443.
Nel menu a discesa Protocollo, seleziona TCP.
Nel menu a discesa Formato, seleziona Punto e virgola (formato predefinito con campi separati da punto e virgola).
Fai clic sul pulsante Testa per testare la connessione alla Cloud Function.
Verifica che il test sia riuscito.
Fai clic sul pulsante Salva per salvare la destinazione syslog.

Nota: FortiEDR invierà messaggi syslog alla Cloud Function tramite HTTPS sulla porta 443.

Attivare le notifiche syslog per tipo di evento

Nella pagina Syslog, seleziona la riga della destinazione syslog appena creata.
Nel riquadro NOTIFICHE a destra, utilizza i cursori per attivare o disattivare la destinazione per tipo di evento:
- Eventi di sistema: attiva questa opzione per inviare eventi di integrità del sistema FortiEDR.
- Eventi di sicurezza: attiva questa opzione per inviare aggregazioni di eventi di sicurezza.
- Audit trail: abilita l'invio degli eventi del log di controllo.
Per ogni tipo di evento abilitato, fai clic sul pulsante a destra del tipo di evento.
Seleziona le caselle di controllo per i campi che vuoi includere nei messaggi syslog.
Fai clic su Salva.

Configurare le notifiche dei playbook

I messaggi Syslog vengono inviati solo per gli eventi di sicurezza che si verificano sui dispositivi assegnati a una policy di Playbook con l'opzione Invia notifica Syslog attivata.

Vai a Impostazioni di sicurezza > Playbook.
Seleziona il criterio del playbook che si applica ai dispositivi che vuoi monitorare (ad esempio Playbook predefinito).
Nella sezione Notifiche, individua la riga Syslog.
Attiva l'opzione Invia notifica Syslog selezionando le caselle di controllo per le classificazioni degli eventi che vuoi inviare:
- Dannoso: eventi di sicurezza classificati come dannosi.
- Sospetti: eventi di sicurezza classificati come sospetti.
- PUP: programmi potenzialmente indesiderati.
- Indeterminato: eventi con classificazione indeterminata.
- Probabilmente sicuro: eventi classificati come probabilmente sicuri (facoltativo).
Fai clic su Salva.

Nota: SMTP, Syslog e Open Ticket devono essere già configurati in Amministrazione > Impostazioni di esportazione prima che le notifiche possano essere inviate dai playbook.

Testare l'integrazione

Nella console FortiEDR Central Manager, vai ad Administration > Export Settings > Syslog.
Seleziona la riga della destinazione syslog.
Fai clic sul pulsante Testa per inviare un messaggio di prova.
Vai a Cloud Run > Servizi nella console di GCP.
Fai clic sul nome della funzione (fortiedr-syslog-collector).
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca:

Wrote X records to gs://fortiedr-logs/fortiedr-syslog/logs_YYYYMMDD_HHMMSS_MMMMMM.ndjson
Successfully processed X records

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla cartella del prefisso (fortiedr-syslog/).
Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

Corpo della richiesta vuoto: FortiEDR non invia dati alla Cloud Function
Variabile di ambiente GCS_BUCKET mancante: controlla che le variabili di ambiente siano impostate
Autorizzazione negata: verifica che il account di servizio disponga del ruolo Amministratore oggetti Storage sul bucket

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Configura un feed in Google SecOps per importare i log di Fortinet FortiEDR

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, FortiEDR Syslog Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Fortinet FortiEDR come Tipo di log.
Fai clic su Ottieni service account.
Verrà visualizzata un'email univoca del service account, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia l'indirizzo email. Lo utilizzerai nel prossimo passaggio.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://fortiedr-logs/fortiedr-syslog/
```
  Sostituisci:
  - fortiedr-logs: il nome del bucket GCS.
  - fortiedr-syslog: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
  Nota: se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
Paese	target.location.country_or_region	Valore copiato direttamente se non è N/A o vuoto
srccountry	principal.location.country_or_region	Valore copiato direttamente se non è riservato o vuoto
dstcountry	target.location.country_or_region	Valore copiato direttamente se non è vuoto
srcip	principal.ip	Valore copiato direttamente
dstip	target.ip	Valore copiato direttamente se non è N/A
Destinazione	target.ip	Estratto come IP dalla destinazione se valido
dst	target.ip	Estratto come IP da dst se valido
srcmac	principal.mac	Valore copiato direttamente
dstosname	target.platform	Impostato su LINUX se corrisponde a LINUX; WINDOWS se corrisponde a WINDOWS; MAC se corrisponde a MAC
srcport	principal.port	Convertito in numero intero
dstport	target.port	Convertito in numero intero
spt	principal.port	Convertito in numero intero
dpt	target.port	Convertito in numero intero
sessionid	network.session_id	Valore copiato direttamente
sentbyte	network.sent_bytes	Convertito in numero intero senza segno
rcvdbyte	network.received_bytes	Convertito in numero intero senza segno
duration	network.session_duration.seconds	Convertito in numero intero
azione	security_result.summary	Valore copiato direttamente
livello	security_result.severity_details	Impostato su "level: %{level}"
policyid	security_result.rule_id	Valore copiato direttamente
policyname	security_result.rule_name	Valore copiato direttamente
policytype	security_result.rule_type	Valore copiato direttamente
servizio	target.application	Valore copiato direttamente
intermediary_ip	target.ip	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
intermediario	intermediario	Valore copiato direttamente
devname	target.hostname	Valore copiato direttamente
server_host	target.hostname	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
server_host	intermediary.hostname	Valore copiato direttamente come etichetta se non è Audit o loginStatus
deviceInformation	target.resource.name, target.resource.resource_type	Nome del dispositivo estratto e resource_type impostato su DEVICE
component_name	additional.fields	Imposta come etichetta con la chiave "Component Name" (Nome componente)
process_name	principal.application	Valore copiato direttamente
Percorso del processo	target.file.full_path	Valore copiato direttamente
asset_os	target.platform	Imposta WINDOWS se corrisponde a .Windows; LINUX se corrisponde a .Linux.
os_version	target.platform_version	Estratto da asset_os
asset_os	principal.platform	Imposta WINDOWS se corrisponde a .Windows; LINUX se corrisponde a .Linux.
os_version	principal.platform_version	Estratto da asset_os
usr_name	userId	Valore copiato direttamente
Utenti	userId	Valore copiato direttamente se non WG o ADDC
id	userId	Valore copiato direttamente
userId	target.user.userid	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
userId	principal.user.userid	Valore copiato direttamente se non è Audit o loginStatus
userDisplayName	target.user.user_display_name	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
userDisplayName	principal.user.user_display_name	Valore copiato direttamente se non è Audit o loginStatus
userPrincipalName	principal.user.userid	Valore copiato direttamente
Descrizione	metadata.description	Valore copiato direttamente se non è vuoto
Dettagli	metadata.description	Valore copiato direttamente se non è vuoto
mfaResult	metadata.description	Valore copiato direttamente se non è vuoto
data7	metadata.description	Valore copiato direttamente se non è vuoto
message_type	metadata.description	Valore copiato direttamente se description_details è vuoto
src_ip, srcip	principal.ip	Valore di src_ip se non è vuoto, altrimenti src, altrimenti Source, altrimenti ipAddress
src_ip	principal.ip	Estratto come IP da src_ip se valido
mac_address	principal.mac	Elaborato come array, convertito in minuscolo, unito se l'indirizzo MAC è valido
event_id	target.process.pid	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
event_id	metadata.product_log_id	Valore copiato direttamente se non è Audit o loginStatus
event_type	metadata.event_type	Valore copiato direttamente
Gravità	security_result.severity	Impostato su INFORMATIONAL se Bassa o vuoto; MEDIUM se Media; HIGH se Alta; CRITICAL se Critica
Azione	security_result.action	Impostato su ALLOW se corrisponde a (?i)Allow; BLOCK se corrisponde a (?i)Block; altrimenti action_details
security_action	security_result.action	Valore copiato direttamente
Regola	rules	Valore copiato direttamente
rules	security_result.rule_name	Valore copiato direttamente
Classificazione	security_result.summary	Valore copiato direttamente
Prima visualizzazione	security_result.detection_fields	Imposta come etichetta con la chiave "First Seen" (Prima visualizzazione)
Ultima visualizzazione	security_result.detection_fields	Imposta come etichetta con la chiave "Ultima visualizzazione"
Organizzazione	target.administrative_domain	Valore copiato direttamente se message_type è Audit o loginStatus non è vuoto
Organizzazione	additional.fields	Imposta come etichetta con la chiave "Organization" se non è Audit o loginStatus
security_result	security_result	Unito da sec_result
	metadata.vendor_name	Imposta su "FORTINET"
	metadata.product_name	Imposta su "FORTINET_FORTIEDR"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.