Fortinet FortiManager 로그 수집
다음에서 지원:
Google secops
SIEM
이 가이드에서는 Bindplane 에이전트를 사용하여 Fortinet FortiManager 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Fortinet FortiManager는 Fortinet 보안 및 네트워킹 기기를 위한 통합 관리, 권장사항 준수, 워크플로 자동화를 제공하는 중앙 집중식 네트워크 관리 플랫폼입니다. FortiManager를 사용하면 관리자가 Security Fabric의 수천 대의 FortiGate 방화벽과 기타 Fortinet 기기에서 구성, 정책, 펌웨어 업데이트, 보안 서비스를 중앙에서 관리할 수 있습니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는 systemd가 있는 Linux 호스트
- Bindplane 에이전트와 Fortinet FortiManager 간 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- 시스템 설정을 수정할 수 있는 권한이 있는 Fortinet FortiManager 관리 콘솔에 대한 권한이 있는 액세스
- FortiManager 버전 5.0.7 이상
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 다운로드를 클릭하여 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector
서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector
서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yaml
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.
receivers:
udplog:
listen_address: "0.0.0.0:514"
exporters:
chronicle/fortimanager:
compression: gzip
creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
customer_id: 'your-customer-id-here'
endpoint: malachiteingestion-pa.googleapis.com
log_type: FORTINET_FORTIMANAGER
raw_log_field: body
ingestion_labels:
env: production
source: fortimanager
service:
pipelines:
logs/fortimanager_to_chronicle:
receivers:
- udplog
exporters:
- chronicle/fortimanager
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.0.0.0.0:514를 사용하여 포트 51의 모든 인터페이스에서 수신 대기합니다. Linux에서 포트 514에 루트 권한이 필요한 경우0.0.0.0:1514를 사용하고 포트 1514로 전송하도록 FortiManager를 구성합니다.
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: 이전 단계의 고객 ID (예:a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6)endpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type: 정확히FORTINET_FORTIMANAGER이어야 합니다.ingestion_labels: 필터링 및 구성을 위한 선택적 라벨
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순으로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows
다음 옵션 중 하나를 선택합니다.
명령 프롬프트 또는 PowerShell을 관리자로 사용합니다.
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔 사용:
Win+R를 누르고services.msc를 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Fortinet FortiManager syslog 전달 구성
FortiManager syslog 구성은 2단계 프로세스입니다. 먼저 GUI에서 syslog 서버를 정의한 다음 CLI를 통해 로컬 로그 전달을 사용 설정합니다.
1단계: FortiManager GUI에서 syslog 서버 추가
- Fortinet FortiManager 웹 인터페이스에 로그인합니다.
- 시스템 설정 > 고급 > Syslog 서버로 이동합니다.
- 툴바에서 새로 만들기를 클릭합니다.
- 새 Syslog 서버 설정 만들기 창이 열립니다.
- 다음 설정을 구성합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
Chronicle-Bindplane). - IP 주소 (또는 FQDN): Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예:
192.168.1.100). - 시스템로그 서버 포트:
514를 입력합니다 (또는 권한이 없는 포트에서 수신 대기하도록 Bindplane을 구성한 경우1514). - 안정적인 연결: UDP (기본값)의 경우 사용 중지 상태로 유지하고 TCP의 경우 사용 설정합니다.
- 보안 연결: TLS 인증서를 구성하지 않은 경우 사용 중지 상태로 둡니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
- 확인을 클릭하여 시스템 로그 서버 구성을 저장합니다.
2단계: CLI를 통해 로컬 로그 전달 사용 설정
GUI에서 syslog 서버를 추가한 후 CLI를 사용하여 FortiManager가 syslog 서버로 로컬 로그를 전송하도록 사용 설정해야 합니다.
- SSH 또는 콘솔을 통해 FortiManager CLI에 연결합니다.
다음 명령어를 실행합니다.
FortiManager 5.0.7 이상:
config system locallog syslogd setting set syslog-name Chronicle-Bindplane set severity information set status enable end구성 매개변수:
syslog-name: GUI에서 구성한 이름과 일치해야 합니다 (예:Chronicle-Bindplane).severity: 모든 로컬 로그를 캡처하려면information로 설정합니다. 기본값은notification이며, 이 경우 캡처되는 이벤트 수가 적습니다. 옵션은emergency,alert,critical,error,warning,notification,information,debug입니다.status: 로그 전달을 시작하려면enable로 설정합니다.
구성 확인
config system locallog syslogd setting show endBindplane 에이전트 로그를 확인하거나 Bindplane 에이전트 호스트에서 패킷 캡처를 사용하여 로그가 전송되는지 확인합니다.
Linux:
sudo tcpdump -i any port 514 -A
Windows:
Wireshark 또는 Microsoft Message Analyzer를 사용하여 포트 514의 트래픽을 캡처합니다.
FortiManager syslog 동작에 관한 참고사항
- FortiManager는 관리되는 FortiGate 기기의 로그가 아닌 자체 로컬 이벤트 로그 (시스템, 구성 변경, 관리 작업)를 구성된 syslog 서버로 전송합니다.
- 기본적으로 안정적인 연결은 사용 중지되어 있으며, 이는 로그가 포트 51의 UDP를 통해 전송됨을 의미합니다. 안정적인 연결을 사용 설정하면 포트 514의 TCP를 통해 로그가 전송됩니다.
- FortiManager syslog 메시지는 엄격하게 RFC 3164 또는 RFC 5424를 준수하지 않는 Fortinet 전용 형식을 사용합니다. Google SecOps FORTINET_FORTIMANAGER 파서는 이 형식을 처리하도록 설계되었습니다.
- 정확한 로그 타임스탬프를 위해 FortiManager 시스템 시간이 NTP와 동기화되고 UTC로 구성되어 있는지 확인합니다. 시스템 시간을 구성하려면 대시보드로 이동한 다음 시스템 정보 위젯에서 시스템 시간 필드 옆에 있는 시스템 시간 수정 버튼을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| type, subtype, pri, operation, performed_on, lograte, msgrate, logratelimit, logratepeak, action, cpuusage, memusage, diskusage, disk2usage, userfrom | about.resource.attribute.labels | 리소스와 연결된 라벨입니다. |
| clearpass-spt, allow-routing, color, comment, fabric-object, name, node-ip-only, obj-type, sdn-addr-type, sub-type, adom, pkgname, _signal-lte-rsrq, _signal-lte-rssi, performed_on_dev, changetype | event.idm.read_only_udm.additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 필드입니다. |
| event.idm.read_only_udm.about | 이벤트에 관한 정보입니다. | |
| event.idm.read_only_udm.extensions | 이벤트 확장 프로그램입니다. | |
| event.idm.read_only_udm.metadata | 이벤트에 대한 메타데이터입니다. | |
| cache_ttl_label | event.idm.read_only_udm.network | 네트워크 관련 정보 |
| event.idm.read_only_udm.principal | 주체에 관한 정보입니다. | |
| event.idm.read_only_udm.security_result | 보안 분석 결과입니다. | |
| event.idm.read_only_udm.target | 타겟 항목에 대한 정보입니다. | |
| extensions.auth.type | 인증 유형입니다. | |
| changes | metadata.description | 이벤트에 대한 설명입니다. |
| event_type | metadata.event_type | 이벤트 유형입니다. |
| log_id | metadata.product_log_id | 로그 항목의 제품별 식별자입니다. |
| cache_ttl_label | network.dns.answers | DNS 답변입니다. |
| session_id | network.session_id | 네트워크 연결의 세션 ID입니다. |
| adminprof | principal.administrative_domain | 주 구성원의 관리 도메인입니다. |
| devname | principal.asset.hostname | 주 구성원과 연결된 애셋의 호스트 이름입니다. |
| src_ip | principal.asset.ip | 주 구성원과 연결된 애셋의 IP 주소입니다. |
| devname | principal.hostname | 주 구성원의 호스트 이름입니다. |
| src_ip | principal.ip | 주체의 IP 주소입니다. |
| device_id | principal.resource.product_object_id | 리소스의 제품별 식별자입니다. |
| principal.resource.resource_type | 리소스 유형 | |
| uuid | principal.user.userid | 기본 사용자의 사용자 ID입니다. |
| action_details | security_result.action | 보안 이벤트의 결과로 취해진 조치입니다. |
| 와일드 카드, 서브넷, end-ip, start-ip | security_result.detection_fields | 보안 결과에서 감지에 사용되는 필드입니다. |
| msg | security_result.summary | 보안 결과 요약입니다. |
| target_ip, tar_ip, remote_ip | target.asset.ip | 타겟과 연결된 애셋의 IP 주소입니다. |
| target_ip, tar_ip, remote_ip | target.ip | 타겟의 IP 주소입니다. |
| tar_port, remote_port | target.port | 타겟의 포트 번호입니다. |
| 사용자 | target.user.userid | 타겟 사용자의 사용자 ID입니다. |
| metadata.vendor_name | 공급업체 이름입니다. | |
| metadata.product_name | 제품 이름입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.