Fortinet FortiManager のログを収集する

以下でサポートされています。

Google SecOps SIEM

このガイドでは、Bindplane エージェントを使用して Fortinet FortiManager ログを Google Security Operations に取り込む方法について説明します。

Fortinet FortiManager は、Fortinet のセキュリティデバイスとネットワークデバイスに対して、統合管理、ベストプラクティスのコンプライアンス、ワークフローの自動化を提供する一元化されたネットワーク管理プラットフォームです。FortiManager を使用すると、管理者は Security Fabric 内の数千台の FortiGate ファイアウォールやその他の Fortinet デバイスの構成、ポリシー、ファームウェアアップデート、セキュリティサービスを一元管理できます。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス。
Windows Server 2016 以降、または systemd を使用する Linux ホスト。
Bindplane エージェントと Fortinet FortiManager 間のネットワーク接続。
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
システム設定を変更する権限を持つ Fortinet FortiManager 管理コンソールへの特権アクセス。
FortiManager バージョン 5.0.7 以降。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
[ダウンロード] をクリックして、取り込み認証ファイルをダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```

サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```

サービスが [アクティブ（実行中）] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortimanager:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIMANAGER
    raw_log_field: body
    ingestion_labels:
        env: production
        source: fortimanager

service:
    pipelines:
    logs/fortimanager_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortimanager

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:

listen_address: リッスンする IP アドレスとポート。0.0.0.0:514 を使用して、ポート 51 のすべてのインターフェースをリッスンします。ポート 514 で Linux の root 権限が必要な場合は、0.0.0.0:1514 を使用して、ポート 1514 に送信するように FortiManager を構成します。

エクスポータの構成:

creds_file_path: 取り込み認証ファイルのフルパス:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: 前の手順の顧客 ID（例: a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6）
endpoint: リージョンエンドポイント URL:
- 米国: malachiteingestion-pa.googleapis.com
- ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
- アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
- 完全なリストについては、リージョンエンドポイントをご覧ください。
log_type: FORTINET_FORTIMANAGER にする必要があります
ingestion_labels: フィルタリングと整理に使用する省略可能なラベル

構成ファイルを保存する

編集が完了したら、ファイルを保存します。

Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux

sudo systemctl restart observiq-otel-collector

サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```

ログでエラーを確認します。

sudo journalctl -u observiq-otel-collector -f

Windows

次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を使用します。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services コンソールを使用する場合:
  1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Fortinet FortiManager の syslog 転送を構成する

FortiManager の syslog 構成は 2 段階のプロセスです。まず、GUI で syslog サーバーを定義し、次に CLI でローカルログ転送を有効にします。

ステップ 1: FortiManager GUI で syslog サーバーを追加する

Fortinet FortiManager ウェブインターフェースにログインします。
[System Settings> Advanced> Syslog Server] に移動します。
ツールバーの [新規作成] をクリックします。
[Create New Syslog Server Settings] ペインが開きます。
以下の設定を構成します。
- 名前: わかりやすい名前を入力します（例: Chronicle-Bindplane）。
- IP アドレス（または FQDN）: Bindplane エージェントホストの IP アドレスを入力します（例: 192.168.1.100）。
- Syslog サーバーポート: 514 と入力します（非特権ポートでリッスンするように Bindplane を構成した場合は 1514）。
- Reliable Connection: UDP の場合は無効のまま（デフォルト）、TCP の場合は有効にします。
- 安全な接続: TLS 証明書を設定していない場合は、無効のままにします。
[OK] をクリックして、Syslog サーバーの構成を保存します。

ステップ 2: CLI でローカルログ転送を有効にする

GUI で syslog サーバーを追加したら、CLI を使用して FortiManager がローカルログを syslog サーバーに送信できるようにする必要があります。

SSH またはコンソール経由で FortiManager CLI に接続します。
次のコマンドを実行します。

FortiManager 5.0.7 以降の場合:
```
config system locallog syslogd setting
    set syslog-name Chronicle-Bindplane
    set severity information
    set status enable
end
```
構成パラメータ:
- syslog-name: GUI で構成した [名前]（Chronicle-Bindplane など）と一致する必要があります。
- severity: すべてのローカルログをキャプチャするには、information に設定します。デフォルトは notification で、キャプチャされるイベントの数が少なくなります。オプションは、emergency、alert、critical、error、warning、notification、information、debug です。
- status: ログの転送を開始するには、enable に設定します。

構成を確認します。

config system locallog syslogd setting
    show
end

Bindplane エージェントのログを確認するか、Bindplane エージェントのホストでパケットキャプチャを使用して、ログが送信されていることを確認します。