收集 Fortinet FortiManager 記錄
支援的國家/地區:
Google SecOps
SIEM
本指南說明如何使用 Bindplane 代理程式,將 Fortinet FortiManager 記錄檔擷取至 Google Security Operations。
Fortinet FortiManager 是集中式網路管理平台,可為 Fortinet 安全防護和網路裝置提供統一管理、最佳做法法規遵循和工作流程自動化功能。管理員可透過 FortiManager,集中管理數千個 FortiGate 防火牆和其他 Security Fabric 中 Fortinet 裝置的設定、政策、韌體更新和安全服務。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Windows Server 2016 以上版本,或搭載 systemd 的 Linux 主機。
- Bindplane 代理程式與 Fortinet FortiManager 之間的網路連線。
- 如果透過 Proxy 執行,請確認防火牆通訊埠已根據 Bindplane 代理程式需求開啟。
- 具備修改系統設定權限的 Fortinet FortiManager 管理控制台特殊存取權。
- FortiManager 5.0.7 以上版本。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 按一下「下載」即可下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安裝完成。
執行下列指令來驗證安裝:
sc query observiq-otel-collector
服務應顯示為「RUNNING」(執行中)。
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安裝完成。
執行下列指令來驗證安裝:
sudo systemctl status observiq-otel-collector
服務應顯示為啟用 (執行中)。
其他安裝資源
如需其他安裝選項和疑難排解資訊,請參閱 Bindplane 代理程式安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
找出設定檔
Linux:
sudo nano /etc/bindplane-agent/config.yaml
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
編輯設定檔
將 config.yaml 的所有內容替換為下列設定:
receivers:
udplog:
listen_address: "0.0.0.0:514"
exporters:
chronicle/fortimanager:
compression: gzip
creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
customer_id: 'your-customer-id-here'
endpoint: malachiteingestion-pa.googleapis.com
log_type: FORTINET_FORTIMANAGER
raw_log_field: body
ingestion_labels:
env: production
source: fortimanager
service:
pipelines:
logs/fortimanager_to_chronicle:
receivers:
- udplog
exporters:
- chronicle/fortimanager
設定參數
請替換下列預留位置:
接收器設定:
listen_address:要接聽的 IP 位址和通訊埠。使用0.0.0.0:514監聽通訊埠 51 上的所有介面。如果通訊埠 514 需要 Linux 上的根層級權限,請使用0.0.0.0:1514,並將 FortiManager 設為傳送至通訊埠 1514。
匯出工具設定:
creds_file_path:擷取驗證檔案的完整路徑:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:上一步中的客戶 ID (例如a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6)endpoint:區域端點網址:- 美國:
malachiteingestion-pa.googleapis.com - 歐洲:
europe-malachiteingestion-pa.googleapis.com - 亞洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需完整清單,請參閱「區域端點」
- 美國:
log_type:必須是FORTINET_FORTIMANAGERingestion_labels:用於篩選和整理的選用標籤
儲存設定檔
編輯完成後,請儲存檔案:
- Linux:依序按下
Ctrl+O、Enter和Ctrl+X - Windows:依序點選「檔案」>「儲存」
重新啟動 Bindplane 代理程式,以套用變更
Linux
sudo systemctl restart observiq-otel-collector確認服務正在執行:
sudo systemctl status observiq-otel-collector檢查記錄中是否有錯誤:
sudo journalctl -u observiq-otel-collector -f
Windows
選擇下列其中一個選項:
以管理員身分使用命令提示字元或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector使用服務控制台:
- 按下
Win+R鍵,輸入services.msc,然後按下 Enter 鍵。 - 找出 observIQ OpenTelemetry Collector。
按一下滑鼠右鍵,然後選取「重新啟動」。
確認服務正在執行:
sc query observiq-otel-collector檢查記錄中是否有錯誤:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按下
設定 Fortinet FortiManager 系統記錄檔轉送
FortiManager 系統記錄設定分為兩個步驟:首先,在 GUI 中定義系統記錄伺服器,然後透過 CLI 啟用本機記錄轉送。
步驟 1:在 FortiManager GUI 中新增系統記錄伺服器
- 登入 Fortinet FortiManager 網頁介面。
- 依序前往「系統設定」>「進階」>「系統記錄伺服器」。
- 按一下工具列中的「建立新項目」。
- 「Create New Syslog Server Settings」(建立新的系統記錄伺服器設定) 窗格隨即開啟。
- 進行下列設定:
- 名稱:輸入描述性名稱 (例如
Chronicle-Bindplane)。 - IP 位址 (或 FQDN):輸入 Bindplane 代理程式主機的 IP 位址 (例如
192.168.1.100)。 - Syslog 伺服器連接埠:輸入
514(如果已將 Bindplane 設定為監聽非特權連接埠,請輸入1514)。 - 可靠連線:針對 UDP 保留停用狀態 (預設),或針對 TCP 啟用。
- 安全連線:除非您已設定 TLS 憑證,否則請保持停用狀態。
- 名稱:輸入描述性名稱 (例如
- 按一下「確定」,儲存系統記錄伺服器設定。
步驟 2:透過 CLI 啟用本機記錄轉送功能
在 GUI 中新增系統記錄伺服器後,您必須使用 CLI 啟用 FortiManager,才能將本機記錄傳送至系統記錄伺服器。
- 透過 SSH 或控制台連線至 FortiManager CLI。
執行下列指令:
適用於 FortiManager 5.0.7 以上版本:
config system locallog syslogd setting set syslog-name Chronicle-Bindplane set severity information set status enable end設定參數:
syslog-name:必須與您在 GUI 中設定的「名稱」相符 (例如Chronicle-Bindplane)。severity:設為information即可擷取所有本機記錄。預設值為notification,這會擷取較少的事件。選項包括:emergency、alert、critical、error、warning、notification、information、debug。status:設為enable即可開始轉送記錄。
驗證設定:
config system locallog syslogd setting show end檢查 Bindplane 代理程式記錄,或在 Bindplane 代理程式主機上使用封包擷取功能,確認記錄是否已傳送:
Linux:
sudo tcpdump -i any port 514 -A
Windows:
使用 Wireshark 或 Microsoft Message Analyzer 擷取通訊埠 514 的流量。
FortiManager 系統記錄行為注意事項
- FortiManager 會將自己的本機事件記錄 (系統、設定變更、管理員動作) 傳送至已設定的 Syslog 伺服器,而非受管理 FortiGate 裝置的記錄。
- 根據預設,「可靠連線」為停用狀態,也就是說,系統會透過通訊埠 51 上的 UDP 傳送記錄。如果啟用「可靠連線」,系統會透過通訊埠 514 上的 TCP 傳送記錄。
- FortiManager 系統記錄訊息採用 Fortinet 專屬格式,不完全符合 RFC 3164 或 RFC 5424 規範。Google SecOps FORTINET_FORTIMANAGER 剖析器可處理這種格式。
- 請確認 FortiManager 系統時間已與 NTP 同步,並設為 UTC,確保記錄時間戳記準確無誤。如要設定系統時間,請前往「資訊主頁」,然後在「系統資訊」小工具中,按一下「系統時間」欄位旁的編輯系統時間按鈕。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| type、subtype、pri、operation、performed_on、lograte、msgrate、logratelimit、logratepeak、action、cpuusage、memusage、diskusage、disk2usage、userfrom | about.resource.attribute.labels | 與資源相關聯的標籤。 |
| clearpass-spt、allow-routing、color、comment、fabric-object、name、node-ip-only、obj-type、sdn-addr-type、sub-type、adom、pkgname、_signal-lte-rsrq、_signal-lte-rssi、performed_on_dev、changetype | event.idm.read_only_udm.additional.fields | 標準 UDM 結構定義未涵蓋的其他欄位。 |
| event.idm.read_only_udm.about | 活動相關資訊。 | |
| event.idm.read_only_udm.extensions | 活動的擴展功能。 | |
| event.idm.read_only_udm.metadata | 事件的中繼資料。 | |
| cache_ttl_label | event.idm.read_only_udm.network | 網路相關資訊。 |
| event.idm.read_only_udm.principal | 主體實體的相關資訊。 | |
| event.idm.read_only_udm.security_result | 安全分析結果。 | |
| event.idm.read_only_udm.target | 目標實體的相關資訊。 | |
| extensions.auth.type | 驗證類型。 | |
| 變更 | metadata.description | 活動說明。 |
| event_type | metadata.event_type | 事件類型。 |
| log_id | metadata.product_log_id | 記錄項目的產品專屬 ID。 |
| cache_ttl_label | network.dns.answers | DNS 答案。 |
| session_id | network.session_id | 網路連線的工作階段 ID。 |
| adminprof | principal.administrative_domain | 主體的管理網域。 |
| devname | principal.asset.hostname | 與主體相關聯的資產主機名稱。 |
| src_ip | principal.asset.ip | 與主體相關聯的資產 IP 位址。 |
| devname | principal.hostname | 主體的主機名稱。 |
| src_ip | principal.ip | 主體的 IP 位址。 |
| device_id | principal.resource.product_object_id | 資源的產品專屬 ID。 |
| principal.resource.resource_type | 資源的類型。 | |
| uuid | principal.user.userid | 主要使用者的使用者 ID。 |
| action_details | security_result.action | 因應安全事件採取的動作。 |
| 萬用字元、子網路、結束 IP、開始 IP | security_result.detection_fields | 安全結果中用於偵測的欄位。 |
| msg | security_result.summary | 安全結果摘要。 |
| target_ip、tar_ip、remote_ip | target.asset.ip | 與目標相關聯的資產 IP 位址。 |
| target_ip、tar_ip、remote_ip | target.ip | 目標的 IP 位址。 |
| tar_port、remote_port | target.port | 目標的通訊埠號碼。 |
| 使用者 | target.user.userid | 目標使用者的使用者 ID。 |
| metadata.vendor_name | 供應商名稱。 | |
| metadata.product_name | 產品名稱。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。