收集 Fortinet FortiManager 日志

支持的平台：

Google SecOps SIEM

本指南介绍了如何使用 Bindplane 代理将 Fortinet FortiManager 日志注入到 Google Security Operations。

Fortinet FortiManager 是一个集中式网络管理平台，可为 Fortinet 安全和网络设备提供统一管理、最佳实践合规性和工作流程自动化。借助 FortiManager，管理员可以集中管理安全网格中数千个 FortiGate 防火墙和其他 Fortinet 设备的配置、政策、固件更新和安全服务。

准备工作

请确保满足以下前提条件：

Google SecOps 实例。
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机。
Bindplane 代理与 Fortinet FortiManager 之间的网络连接。
如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开。
对 Fortinet FortiManager 管理控制台的特权访问权限，并拥有修改系统设置的权限。
FortiManager 5.0.7 版或更高版本。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
点击下载以下载内容提交身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。

注意：此 JSON 文件包含用于向 Google SecOps 验证 Bindplane 代理身份的凭据。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

注意：配置 Bindplane 代理导出器时需要客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令来验证安装：
```
sc query observiq-otel-collector
```

该服务应显示为 RUNNING。

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。

运行以下命令来验证安装：

sudo systemctl status observiq-otel-collector

该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortimanager:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_FORTIMANAGER
    raw_log_field: body
    ingestion_labels:
        env: production
        source: fortimanager

service:
    pipelines:
    logs/fortimanager_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortimanager

配置参数

替换以下占位符：

接收器配置：

listen_address：要监听的 IP 地址和端口。使用 0.0.0.0:514 在端口 51 上监听所有接口。如果端口 514 在 Linux 上需要 root 权限，请使用 0.0.0.0:1514 并将 FortiManager 配置为发送到端口 1514。

导出器配置：

creds_file_path：提取身份验证文件的完整路径：
- Linux：/etc/bindplane-agent/ingestion-auth.json
- Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id：上一步中的客户 ID（例如 a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6）
endpoint：区域端点网址：
- 美国：malachiteingestion-pa.googleapis.com
- 欧洲：europe-malachiteingestion-pa.googleapis.com
- 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
- 如需查看完整列表，请参阅区域级端点
log_type：必须正好为 FORTINET_FORTIMANAGER
ingestion_labels：用于过滤和组织的可选标签

保存配置文件

修改后，保存文件：

Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

Linux

sudo systemctl restart observiq-otel-collector

验证服务是否正在运行：

sudo systemctl status observiq-otel-collector

检查日志是否存在错误：

sudo journalctl -u observiq-otel-collector -f

Windows

请从下列选项中选择一项：
- 以管理员身份使用命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 使用“服务”控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。
  4. 验证服务是否正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志是否存在错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

配置 Fortinet FortiManager Syslog 转发

FortiManager syslog 配置分为两步：首先，在 GUI 中定义 syslog 服务器，然后通过 CLI 启用本地日志转发。

第 1 步：在 FortiManager GUI 中添加 syslog 服务器

登录 Fortinet FortiManager 网页界面。
依次前往系统设置 > 高级 > Syslog 服务器。
点击工具栏中的新建。
系统会打开创建新的 Syslog 服务器设置窗格。
配置以下设置：
- 名称：输入一个描述性名称（例如 Chronicle-Bindplane）。
- IP 地址（或 FQDN）：输入 Bindplane 代理主机（例如 192.168.1.100）的 IP 地址。
- Syslog 服务器端口：输入 514（如果您已将 Bindplane 配置为监听非特权端口，则输入 1514）。
- 可靠连接：对于 UDP，保持停用状态（默认）；对于 TCP，启用此选项。
- 安全连接：除非您已配置 TLS 证书，否则请保持停用状态。
点击 OK 以保存 syslog 服务器配置。

第 2 步：通过 CLI 启用本地日志转发

在 GUI 中添加 syslog 服务器后，您必须使用 CLI 启用 FortiManager，以将本地日志发送到 syslog 服务器。

通过 SSH 或控制台连接到 FortiManager CLI。
运行以下命令：

对于 FortiManager 5.0.7 及更高版本：
```
config system locallog syslogd setting
    set syslog-name Chronicle-Bindplane
    set severity information
    set status enable
end
```
配置参数：
- syslog-name：必须与您在界面中配置的名称一致（例如，Chronicle-Bindplane）。
- severity：设置为 information 可捕获所有本地日志。默认值为 notification，可捕获的事件较少。选项包括：emergency、alert、critical、error、warning、notification、information、debug。
- status：设置为 enable 以开始转发日志。

验证配置：

config system locallog syslogd setting
    show
end

通过检查 Bindplane 代理日志或在 Bindplane 代理主机上使用数据包捕获来验证日志是否正在发送：

Linux：

sudo tcpdump -i any port 514 -A

Windows：

使用 Wireshark 或 Microsoft Message Analyzer 捕获端口 514 上的流量。

关于 FortiManager syslog 行为的说明

FortiManager 会将自己的本地事件日志（系统、配置更改、管理操作）发送到配置的 syslog 服务器，而不是受管理的 FortiGate 设备的日志。
默认情况下，可靠连接处于停用状态，这意味着日志通过端口 51 上的 UDP 发送。如果您启用可靠连接，系统会通过端口 514 上的 TCP 发送日志。
FortiManager syslog 消息使用 Fortinet 特有的格式，不严格符合 RFC 3164 或 RFC 5424 规范。Google SecOps FORTINET_FORTIMANAGER 解析器旨在处理此格式。
确保 FortiManager 系统时间与 NTP 同步，并配置为 UTC，以便获得准确的日志时间戳。如需配置系统时间，请前往信息中心，然后在系统信息微件中，点击系统时间字段旁边的“修改系统时间”按钮。

UDM 映射表

日志字段	UDM 映射	逻辑
type、subtype、pri、operation、performed_on、lograte、msgrate、logratelimit、logratepeak、action、cpuusage、memusage、diskusage、disk2usage、userfrom	about.resource.attribute.labels	与资源关联的标签。
clearpass-spt、allow-routing、color、comment、fabric-object、name、node-ip-only、obj-type、sdn-addr-type、sub-type、adom、pkgname、_signal-lte-rsrq、_signal-lte-rssi、performed_on_dev、changetype	event.idm.read_only_udm.additional.fields	标准 UDM 架构未涵盖的其他字段。
	event.idm.read_only_udm.about	活动的相关信息。
	event.idm.read_only_udm.extensions	活动的扩展。
	event.idm.read_only_udm.metadata	事件的元数据。
cache_ttl_label	event.idm.read_only_udm.network	与网络相关的信息。
	event.idm.read_only_udm.principal	有关正文实体的信息。
	event.idm.read_only_udm.security_result	安全分析结果。
	event.idm.read_only_udm.target	有关目标实体的信息。
	extensions.auth.type	身份验证类型。
更改	metadata.description	活动说明。
event_type	metadata.event_type	事件的类型。
log_id	metadata.product_log_id	日志条目的商品专属标识符。
cache_ttl_label	network.dns.answers	DNS 回答。
session_id	network.session_id	网络连接的会话 ID。
adminprof	principal.administrative_domain	主账号的管理网域。
devname	principal.asset.hostname	与正文相关联的资产的主机名。
src_ip	principal.asset.ip	与正文相关联的资产的 IP 地址。
devname	principal.hostname	主账号的主机名。
src_ip	principal.ip	主账号的 IP 地址。
device_id	principal.resource.product_object_id	资源的商品专属标识符。
	principal.resource.resource_type	资源类型。
uuid	principal.user.userid	主用户的用户 ID。
action_details	security_result.action	因安全事件而采取的行动。
通配符、子网、结束 IP、起始 IP	security_result.detection_fields	安全结果中用于检测的字段。
msg	security_result.summary	安全结果摘要。
target_ip、tar_ip、remote_ip	target.asset.ip	与目标相关联的资产的 IP 地址。
target_ip、tar_ip、remote_ip	target.ip	目标的 IP 地址。
tar_port、remote_port	target.port	目标的端口号。
用户	target.user.userid	目标用户的用户 ID。
	metadata.vendor_name	供应商名称。
	metadata.product_name	商品名称。