Mengumpulkan log Fortinet FortiManager

Didukung di:

Panduan ini menjelaskan cara menyerap log Fortinet FortiManager ke Google Security Operations menggunakan agen Bindplane.

Fortinet FortiManager adalah platform pengelolaan jaringan terpusat yang menyediakan pengelolaan terpadu, kepatuhan terhadap praktik terbaik, dan otomatisasi alur kerja untuk perangkat keamanan dan jaringan Fortinet. FortiManager memungkinkan administrator mengelola konfigurasi, kebijakan, update firmware, dan layanan keamanan secara terpusat di ribuan firewall FortiGate dan perangkat Fortinet lainnya di Security Fabric.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Konektivitas jaringan antara agen Bindplane dan FortiManager Fortinet.
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane.
  • Akses istimewa ke konsol pengelolaan Fortinet FortiManager dengan izin untuk mengubah Setelan Sistem.
  • FortiManager versi 5.0.7 atau yang lebih baru.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Klik Download untuk mendownload file autentikasi penyerapan.

  4. Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen BindPlane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortimanager:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIMANAGER
    raw_log_field: body
    ingestion_labels:
        env: production
        source: fortimanager

service:
    pipelines:
    logs/fortimanager_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortimanager

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:

  • listen_address: Alamat IP dan port yang akan diproses. Gunakan 0.0.0.0:514 untuk memproses semua antarmuka di port 51. Jika port 514 memerlukan hak istimewa root di Linux, gunakan 0.0.0.0:1514 dan konfigurasi FortiManager untuk mengirim ke port 1514.

Konfigurasi eksportir:

  • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: ID Pelanggan dari langkah sebelumnya (misalnya, a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6)
  • endpoint: URL endpoint regional:
    • Amerika Serikat: malachiteingestion-pa.googleapis.com
    • Eropa: europe-malachiteingestion-pa.googleapis.com
    • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  • log_type: Harus persis FORTINET_FORTIMANAGER
  • ingestion_labels: Label opsional untuk pemfilteran dan pengorganisasian

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen BindPlane untuk menerapkan perubahan

  • Linux

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Windows

    Pilih salah satu opsi berikut:

    • Menggunakan Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Menggunakan konsol Layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Fortinet FortiManager

Konfigurasi syslog FortiManager adalah proses dua langkah: pertama, tentukan server syslog di GUI, lalu aktifkan penerusan log lokal melalui CLI.

Langkah 1: Tambahkan server syslog di GUI FortiManager

  1. Login ke antarmuka web Fortinet FortiManager.
  2. Buka System Settings > Advanced > Syslog Server.
  3. Klik Buat Baru di toolbar.
  4. Panel Create New Syslog Server Settings akan terbuka.
  5. Konfigurasikan setelan berikut:
    • Name: Masukkan nama deskriptif (misalnya, Chronicle-Bindplane).
    • Alamat IP (atau FQDN): Masukkan alamat IP host agen Bindplane (misalnya, 192.168.1.100).
    • Port Server Syslog: Masukkan 514 (atau 1514 jika Anda mengonfigurasi Bindplane untuk memproses port yang tidak memiliki hak istimewa).
    • Koneksi yang Andal: Biarkan dinonaktifkan untuk UDP (default), atau aktifkan untuk TCP.
    • Koneksi Aman: Biarkan dinonaktifkan kecuali jika Anda telah mengonfigurasi sertifikat TLS.
  6. Klik OK untuk menyimpan konfigurasi server syslog.

Langkah 2: Aktifkan penerusan log lokal melalui CLI

Setelah menambahkan server syslog di GUI, Anda harus mengaktifkan FortiManager untuk mengirim log lokal ke server syslog menggunakan CLI.

  1. Hubungkan ke CLI FortiManager melalui SSH atau konsol.

  2. Jalankan perintah berikut:

    Untuk FortiManager 5.0.7 dan yang lebih baru:

    config system locallog syslogd setting
    set syslog-name Chronicle-Bindplane
    set severity information
    set status enable
end

    Parameter konfigurasi:

    • syslog-name: Harus cocok dengan Name yang Anda konfigurasi di GUI (misalnya, Chronicle-Bindplane).
    • severity: Tetapkan ke information untuk merekam semua log lokal. Setelan defaultnya adalah notification, yang merekam lebih sedikit peristiwa. Opsinya adalah: emergency, alert, critical, error, warning, notification, information, debug.
    • status: Tetapkan ke enable untuk mulai meneruskan log.

  3. Verifikasi konfigurasi:

    config system locallog syslogd setting
    show
end

  4. Pastikan log dikirim dengan memeriksa log agen Bindplane atau menggunakan pengambilan paket di host agen Bindplane:

Linux:

sudo tcpdump -i any port 514 -A

Windows:

Gunakan Wireshark atau Microsoft Message Analyzer untuk merekam traffic di port 514.

Catatan tentang perilaku syslog FortiManager

  • FortiManager mengirim log peristiwa lokalnya sendiri (sistem, perubahan konfigurasi, tindakan administratif) ke server syslog yang dikonfigurasi, bukan log dari perangkat FortiGate yang dikelola.
  • Secara default, Koneksi yang Andal dinonaktifkan, yang berarti log dikirim melalui UDP di port 51. Jika Anda mengaktifkan Koneksi yang Andal, log akan dikirim melalui TCP di port 514.
  • Pesan syslog FortiManager menggunakan format khusus Fortinet yang tidak sepenuhnya sesuai dengan RFC 3164 atau RFC 5424. Parser FORTINET_FORTIMANAGER Google SecOps dirancang untuk menangani format ini.
  • Pastikan waktu sistem FortiManager disinkronkan dengan NTP dan dikonfigurasi ke UTC untuk stempel waktu log yang akurat. Untuk mengonfigurasi waktu sistem, buka Dasbor, lalu di widget Informasi Sistem, klik tombol edit waktu sistem di samping kolom Waktu Sistem.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
type, subtype, pri, operation, performed_on, lograte, msgrate, logratelimit, logratepeak, action, cpuusage, memusage, diskusage, disk2usage, userfrom about.resource.attribute.labels Label yang terkait dengan resource.
clearpass-spt, allow-routing, color, comment, fabric-object, name, node-ip-only, obj-type, sdn-addr-type, sub-type, adom, pkgname, _signal-lte-rsrq, _signal-lte-rssi, performed_on_dev, changetype event.idm.read_only_udm.additional.fields Kolom tambahan yang tidak tercakup dalam skema UDM standar.
event.idm.read_only_udm.about Informasi tentang acara.
event.idm.read_only_udm.extensions Ekstensi ke acara.
event.idm.read_only_udm.metadata Metadata tentang peristiwa.
cache_ttl_label event.idm.read_only_udm.network Informasi terkait jaringan.
event.idm.read_only_udm.principal Informasi tentang entitas utama.
event.idm.read_only_udm.security_result Hasil analisis keamanan.
event.idm.read_only_udm.target Informasi tentang entity target.
extensions.auth.type Jenis autentikasi.
perubahan metadata.description Deskripsi acara.
event_type metadata.event_type Jenis acara.
log_id metadata.product_log_id ID khusus produk untuk entri log.
cache_ttl_label network.dns.answers Jawaban DNS.
session_id network.session_id ID sesi koneksi jaringan.
adminprof principal.administrative_domain Domain administratif prinsipal.
devname principal.asset.hostname Nama host aset yang terkait dengan akun utama.
src_ip principal.asset.ip Alamat IP aset yang terkait dengan prinsipal.
devname principal.hostname Nama host prinsipal.
src_ip principal.ip Alamat IP kepala sekolah.
device_id principal.resource.product_object_id ID khusus produk untuk resource.
principal.resource.resource_type Jenis resource.
uuid principal.user.userid ID pengguna utama.
action_details security_result.action Tindakan yang diambil sebagai akibat dari peristiwa keamanan.
wildcard, subnet, end-ip, start-ip security_result.detection_fields Kolom yang digunakan untuk deteksi dalam hasil keamanan.
msg security_result.summary Ringkasan hasil keamanan.
target_ip, tar_ip, remote_ip target.asset.ip Alamat IP aset yang terkait dengan target.
target_ip, tar_ip, remote_ip target.ip Alamat IP target.
tar_port, remote_port target.port Nomor port target.
pengguna target.user.userid ID pengguna target.
metadata.vendor_name Nama vendor.
metadata.product_name Nama produk.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.