收集 Fortinet FortiMail 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Fortinet FortiMail 日志注入到 Google Security Operations。
Fortinet FortiMail 是一种电子邮件安全网关,可针对电子邮件交易、垃圾邮件过滤、病毒检测、身份验证事件和政策执行生成 syslog 消息。解析器会提取键值对、规范化时间戳和 IP 地址,并将它们映射到统一数据模型 (UDM)。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Fortinet FortiMail 之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Fortinet FortiMail 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fortinet_fortimail: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORTINET_FORTIMAIL raw_log_field: body service: pipelines: logs/fortinet_fortimail_to_chronicle: receivers: - udplog exporters: - chronicle/fortinet_fortimail
配置参数
替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0侦听所有接口(推荐)- 端口
514是标准 syslog 端口(在 Linux 上需要 root 权限;对于非 root 用户,请使用1514)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:从 Google SecOps 控制台复制的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Fortinet FortiMail syslog
- 登录 FortiMail 设备网页界面。
- 依次选择日志和报告 > 日志设置 > 远程。
- 点击新建以创建新条目。
- 在随即显示的对话框中,选择启用以允许日志记录到远程主机。
- 提供以下详细信息:
- 名称:输入一个唯一且有意义的名称。
- 服务器名称/IP:输入 Bindplane IP 地址。
- 服务器端口:输入 Bindplane UDP 端口号。
- 级别:选择信息作为严重程度。
- 设施:输入唯一的设施标识符,并验证没有其他网络设备使用相同的设施标识符。
- 取消选择 CSV 格式。
- 日志协议:选择 Syslog。
- 日志记录政策配置:启用所有类型的事件或日志以进行转发。
- 点击创建。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| authid | read_only_udm.target.user.email_addresses | 如果 authid 字段包含 @,则映射到此字段 |
| authid | read_only_udm.target.user.userid | 将 authid 字段映射到此字段 |
| 加密 | read_only_udm.network.tls.cipher | 将 cipher 字段映射到此字段 |
| client_ip | read_only_udm.principal.ip | 将 client_ip 字段映射到此字段 |
| client_name | read_only_udm.principal.hostname | 将 client_name 字段映射到此字段 |
| detail | read_only_udm.security_result.summary | 将 detail 字段映射到此字段 |
| device_id | read_only_udm.principal.resource.id | 将 device_id 字段映射到此字段 |
| devname | read_only_udm.principal.resource.name | 将 devname 字段映射到此字段 |
| 方向 | read_only_udm.network.direction | 如果 direction 字段等于 out,则映射值为 OUTBOUND;如果 direction 字段等于 in,则映射值为 INBOUND;否则,映射值为 UNKNOWN_DIRECTION |
| disposition | read_only_udm.security_result.detection_fields.value | 当键字段等于 Disposition 时,将 disposition 字段映射到此字段 |
| 域名 | read_only_udm.principal.administrative_domain | 将 domain 字段映射到此字段 |
| dst_ip | read_only_udm.target.ip | 将 dst_ip 字段映射到此字段 |
| 来自 | read_only_udm.network.email.from | 如果 from 字段包含 @,则映射到此字段 |
| log_id | read_only_udm.metadata.product_log_id | 将 log_id 字段映射到此字段 |
| message_id | read_only_udm.network.email.mail_id | 将 message_id 字段映射到此字段 |
| message_length | read_only_udm.additional.fields.value.number_value | 当键字段等于 message_length 时,将 message_length 字段映射到此字段 |
| msg | read_only_udm.security_result.description | 将 msg 字段映射到此字段 |
| polid | read_only_udm.security_result.detection_fields.value | 当键字段等于 Polid 时,将 polid 字段映射到此字段 |
| 中继 | read_only_udm.intermediary.ip | 将 relay 字段映射到此字段 |
| 已解决 | read_only_udm.security_result.detection_fields.value | 当键字段等于 Resolved 时,将 resolved 字段映射到此字段 |
| session_id | read_only_udm.network.session_id | 将 session_id 字段映射到此字段 |
| src_type | read_only_udm.additional.fields.value.string_value | 当键字段等于 src_type 时,将 src_type 字段映射到此字段 |
| stat | read_only_udm.metadata.description | 将 stat 字段映射到此字段 |
| subject | read_only_udm.network.email.subject | 将 subject 字段映射到此字段 |
| 至 | read_only_udm.network.email.to | 如果 to 字段包含 @,则映射到此字段 |
| 用户 | read_only_udm.principal.user.userid | 将 user 字段映射到此字段 |
| 不适用 | read_only_udm.extensions.auth.mechanism | 如果存在 authid 字段,则此字段的值在解析器代码中硬编码为 USERNAME_PASSWORD |
| 不适用 | read_only_udm.extensions.auth.type | 如果存在 authid 字段,则此字段的值在解析器代码中硬编码为 AUTHTYPE_UNSPECIFIED |
| 不适用 | read_only_udm.metadata.event_type | 此字段的值由解析器逻辑根据可用字段的组合来确定。如果存在 from 字段,则值为 EMAIL_TRANSACTION;否则,如果存在 to 字段,则值为 EMAIL_UNCATEGORIZED;否则,如果 client_ip 和 dst_ip 字段都存在,则值为 NETWORK_CONNECTION;否则,如果存在 authid 字段,则值为 USER_LOGIN;否则,如果存在 user 字段,则值为 USER_UNCATEGORIZED;否则,如果存在 client_ip 字段,则值为 STATUS_UPDATE;否则,值为 GENERIC_EVENT |
| 不适用 | read_only_udm.metadata.log_type | 此字段的值在解析器代码中硬编码为 FORTINET_FORTIMAIL |
| 不适用 | read_only_udm.metadata.product_name | 此字段的值在解析器代码中硬编码为 FORTINET_FORTIMAIL |
| 不适用 | read_only_udm.metadata.vendor_name | 此字段的值在解析器代码中硬编码为 FORTINET |
| 不适用 | read_only_udm.principal.resource.resource_type | 此字段的值在解析器代码中硬编码为 DEVICE |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。