Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Fortinet FortiMail

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Fortinet FortiMail ke Google Security Operations menggunakan agen Bindplane.

Fortinet FortiMail adalah gateway keamanan email yang menghasilkan pesan syslog untuk transaksi email, pemfilteran spam, deteksi virus, peristiwa autentikasi, dan penerapan kebijakan. Parser mengekstrak key-value pair, menormalisasi stempel waktu dan alamat IP, serta memetakannya ke Model Data Terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan Fortinet FortiMail
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke Fortinet FortiMail

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi pengekspor agen Bindplane.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sudo systemctl status observiq-otel-collector
```
Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortinet_fortimail:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORTINET_FORTIMAIL
        raw_log_field: body

service:
    pipelines:
        logs/fortinet_fortimail_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/fortinet_fortimail

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:
- listen_address: Alamat IP dan port yang akan diproses:
  - 0.0.0.0 untuk mendengarkan di semua antarmuka (direkomendasikan)
  - Port 514 adalah port syslog standar (memerlukan root di Linux; gunakan 1514 untuk non-root)
Konfigurasi eksportir:
- creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID Pelanggan yang disalin dari konsol Google SecOps
- endpoint: URL endpoint regional:
  - Amerika Serikat: malachiteingestion-pa.googleapis.com
  - Eropa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi syslog Fortinet FortiMail

Login ke antarmuka web perangkat FortiMail.
Pilih Log & Report > Log Settings > Remote.
Klik Baru untuk membuat entri baru.
Pada dialog yang muncul, pilih Aktifkan untuk mengizinkan logging ke host jarak jauh.
Berikan detail berikut:
- Nama: Masukkan nama yang unik dan bermakna.
- Server name/IP: Masukkan alamat IP Bindplane.
- Port server: Masukkan nomor port UDP Bindplane.
- Level: Pilih Informasi sebagai tingkat keparahan.
- Fasilitas: Masukkan ID fasilitas unik dan pastikan tidak ada perangkat jaringan lain yang menggunakan ID fasilitas yang sama.
- Batalkan pilihan format CSV.
- Log protocol: Pilih Syslog.
- Konfigurasi kebijakan logging: Aktifkan semua jenis peristiwa atau log untuk diteruskan.
Klik Create.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
authid	read_only_udm.target.user.email_addresses	Jika kolom `authid` berisi `@`, petakan ke kolom ini
authid	read_only_udm.target.user.userid	Petakan kolom `authid` ke kolom ini
cipher	read_only_udm.network.tls.cipher	Petakan kolom `cipher` ke kolom ini
client_ip	read_only_udm.principal.ip	Petakan kolom `client_ip` ke kolom ini
client_name	read_only_udm.principal.hostname	Petakan kolom `client_name` ke kolom ini
detail	read_only_udm.security_result.summary	Petakan kolom `detail` ke kolom ini
device_id	read_only_udm.principal.resource.id	Petakan kolom `device_id` ke kolom ini
devname	read_only_udm.principal.resource.name	Petakan kolom `devname` ke kolom ini
direction	read_only_udm.network.direction	Jika kolom `direction` sama dengan `out`, maka petakan nilai `OUTBOUND`, jika kolom `direction` sama dengan `in`, maka petakan nilai `INBOUND`, jika tidak, petakan nilai `UNKNOWN_DIRECTION`
disposisi	read_only_udm.security_result.detection_fields.value	Memetakan kolom `disposition` ke kolom ini, saat kolom kunci sama dengan `Disposition`
domain	read_only_udm.principal.administrative_domain	Petakan kolom `domain` ke kolom ini
dst_ip	read_only_udm.target.ip	Petakan kolom `dst_ip` ke kolom ini
dari	read_only_udm.network.email.from	Jika kolom `from` berisi `@`, petakan ke kolom ini
log_id	read_only_udm.metadata.product_log_id	Petakan kolom `log_id` ke kolom ini
message_id	read_only_udm.network.email.mail_id	Petakan kolom `message_id` ke kolom ini
message_length	read_only_udm.additional.fields.value.number_value	Memetakan kolom `message_length` ke kolom ini, saat kolom kunci sama dengan `message_length`
msg	read_only_udm.security_result.description	Petakan kolom `msg` ke kolom ini
polid	read_only_udm.security_result.detection_fields.value	Memetakan kolom `polid` ke kolom ini, saat kolom kunci sama dengan `Polid`
relai	read_only_udm.intermediary.ip	Petakan kolom `relay` ke kolom ini
terselesaikan	read_only_udm.security_result.detection_fields.value	Memetakan kolom `resolved` ke kolom ini, saat kolom kunci sama dengan `Resolved`
session_id	read_only_udm.network.session_id	Petakan kolom `session_id` ke kolom ini
src_type	read_only_udm.additional.fields.value.string_value	Memetakan kolom `src_type` ke kolom ini, saat kolom kunci sama dengan `src_type`
stat	read_only_udm.metadata.description	Petakan kolom `stat` ke kolom ini
subject	read_only_udm.network.email.subject	Petakan kolom `subject` ke kolom ini
sampai	read_only_udm.network.email.to	Jika kolom `to` berisi `@`, petakan ke kolom ini
pengguna	read_only_udm.principal.user.userid	Petakan kolom `user` ke kolom ini
T/A	read_only_udm.extensions.auth.mechanism	Nilai kolom ini dikodekan secara permanen dalam kode parser sebagai `USERNAME_PASSWORD` jika kolom `authid` ada
T/A	read_only_udm.extensions.auth.type	Nilai kolom ini dikodekan secara permanen dalam kode parser sebagai `AUTHTYPE_UNSPECIFIED` jika kolom `authid` ada
T/A	read_only_udm.metadata.event_type	Nilai kolom ini ditentukan oleh logika parser berdasarkan kombinasi kolom yang tersedia. Jika kolom `from` ada, nilainya adalah `EMAIL_TRANSACTION`, jika kolom `to` ada, nilainya adalah `EMAIL_UNCATEGORIZED`, jika kolom `client_ip` dan `dst_ip` ada, nilainya adalah `NETWORK_CONNECTION`, jika kolom `authid` ada, nilainya adalah `USER_LOGIN`, jika kolom `user` ada, nilainya adalah `USER_UNCATEGORIZED`, jika kolom `client_ip` ada, nilainya adalah `STATUS_UPDATE`, jika tidak, nilainya adalah `GENERIC_EVENT`
T/A	read_only_udm.metadata.log_type	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET_FORTIMAIL`
T/A	read_only_udm.metadata.product_name	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET_FORTIMAIL`
T/A	read_only_udm.metadata.vendor_name	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET`
T/A	read_only_udm.principal.resource.resource_type	Nilai kolom ini di-hardcode dalam kode parser sebagai `DEVICE`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.