收集 Fortinet FortiWeb 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Fortinet FortiWeb 日志注入到 Google Security Operations。
解析器从 Fortinet FortiWeb KV 格式的日志中提取字段。它使用 grok 和/或 kv 来解析日志消息,然后将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Fortinet FortiWeb 网页界面的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'FORTINET_FORTIWEB' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
配置参数
替换以下占位符:
接收器配置:
udplog:使用udplog表示 UDP syslog,使用tcplog表示 TCP syslog0.0.0.0:要监听的 IP 地址(0.0.0.0表示监听所有接口)514:要监听的端口号(标准 syslog 端口)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:日志类型,与在 Chronicle 中显示的完全一致 (FORTINET_FORTIWEB)
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Fortinet FortiWeb syslog 转发
- 登录 FortiWeb 网页界面。
- 依次前往日志和报告 > 日志配置 > 其他日志设置。
- 在 Syslog Policy(Syslog 政策)下,点击 Create New(新建)以添加新的 syslog 政策。
- 提供以下配置详细信息:
- 政策名称:输入一个描述性名称(例如
Google-SecOps-Bindplane)。 - IP 地址:输入 Bindplane 代理主机 IP 地址。
- 端口:输入
514。 - 启用:选择启用。
- 设备:选择 local0(或您偏好的设备)。
- Log Level:选择 information(或您偏好的级别)。
- 政策名称:输入一个描述性名称(例如
- 在日志类型部分,启用以下选项:
- 攻击日志
- 活动日志
- 流量日志
- 点击确定进行保存。
- 通过检查 Bindplane 代理日志,验证是否正在发送 syslog 消息。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | additional.fields[].value.string_value | 值直接映射。 |
| 操作 | security_result.action_details | 如果操作为“允许”或“接受”,则将 security_result.action_details 设置为“ALLOW”。如果操作为“拒绝”“deny”“block”或“Block”,则 security_result.action_details 设置为“BLOCK”。 |
| 应用 | network.application_protocol | 在转换为大写后直接映射值。仅当值为 HTTPS、HTTP、DNS、DHCP、SMB 之一时。 |
| app_name | additional.fields[].key | 键设置为“appName”。 |
| app_name | additional.fields[].value.string_value | 值直接映射。 |
| backend_service | additional.fields[].key | 键设置为“backend_service”。 |
| backend_service | additional.fields[].value.string_value | 值直接映射。 |
| 猫 | security_result.category_details | 值直接映射。 |
| client_level | security_result.category | 如果 client_level 为“Malicious”,则 security_result.category 设置为“NETWORK_MALICIOUS”。 |
| cn1 | additional.fields[].value.string_value | 映射到 threatWeight 字段。 |
| cn1Label | additional.fields[].key | 键设置为 cn1Label 值。 |
| cn2 | additional.fields[].value.string_value | 映射到长度字段。 |
| cn2Label | additional.fields[].key | 键设置为 cn2Label 值。 |
| cn3 | additional.fields[].value.string_value | 已映射到 signatureID 字段。 |
| cn3Label | additional.fields[].key | 键设置为 cn3Label 值。 |
| cs1 | additional.fields[].value.string_value | 值直接映射。 |
| cs1Label | additional.fields[].key | 键设置为 cs1Label 值。 |
| cs1 | principal.user.product_object_id | 当 cs1Label 与“userID”(不区分大小写)匹配时,直接映射值。 |
| cs2 | additional.fields[].value.string_value | 值直接映射。 |
| cs2Label | additional.fields[].key | 键设置为 cs2Label 值。 |
| cs2 | principal.user.userid | 当 cs2Label 与“userName”(不区分大小写)匹配且 suid 为空时,直接映射值。 |
| cs3 | additional.fields[].value.string_value | 值直接映射。 |
| cs3Label | additional.fields[].key | 键设置为 cs3Label 值。 |
| cs3 | metadata.severity | 当 cs3Label 为“level”且 cs3 不为空时,值会直接映射。 |
| cs4 | additional.fields[].value.string_value | 映射到 subType 字段。 |
| cs4Label | additional.fields[].key | 键设置为 cs4Label 值。 |
| cs5 | additional.fields[].value.string_value | 映射到 threatLevel 字段。 |
| cs5Label | additional.fields[].key | 键设置为 cs5Label 值。 |
| cs6 | additional.fields[].value.string_value | 已映射到 owaspTop10 字段。 |
| cs6Label | additional.fields[].key | 键设置为 cs6Label 值。 |
| 日期 | metadata.event_timestamp.seconds | 与时间结合并解析以生成纪元秒数。 |
| dev_id | principal.resource.id | 值直接映射。 |
| devname | principal.resource.name | 值直接映射。 |
| device_event_class_id | metadata.product_event_type | 用于 CEF 解析。 |
| device_product | metadata.product_name | 用于 CEF 解析。 |
| device_vendor | metadata.vendor_name | 用于 CEF 解析。 |
| device_version | metadata.product_version | 用于 CEF 解析。 |
| dhost | target.hostname | 值直接映射。 |
| dpt | target.port | 值会直接映射并转换为整数。 |
| dst | target.ip | 值直接映射。 |
| dst_port | target.port | 值会直接映射并转换为整数。 |
| dstepid | target.process.pid | 值直接映射。 |
| dsteuid | target.user.userid | 值直接映射。 |
| event_name | metadata.product_event_type | 用于 CEF 解析。 |
| http_agent | network.http.parsed_user_agent | 值会解析为用户代理字符串。 |
| http_method | network.http.method | 值直接映射。 |
| http_refer | network.http.referral_url | 值直接映射。 |
| http_session_id | network.session_id | 值直接映射。 |
| http_url | target.url | 值直接映射。 |
| http_version | metadata.product_version | 值直接映射。 |
| 长度 | additional.fields[].key | 键设置为“length”。 |
| 长度 | additional.fields[].value.string_value | 值直接映射。 |
| log_type | metadata.log_type | 硬编码为“FORTINET_FORTIWEB”。 |
| main_type | additional.fields[].key | 键设置为“mainType”。 |
| main_type | additional.fields[].value.string_value | 值直接映射。 |
| 消息 | 各种字段 | 使用 grok 和 kv 过滤器进行解析,以提取不同的字段。 |
| ml_allow_method | additional.fields[].key | 键设置为“ml_allow_method”。 |
| ml_allow_method | additional.fields[].value.string_value | 值直接映射。 |
| ml_arg_dbid | additional.fields[].key | 键设置为“ml_arg_dbid”。 |
| ml_arg_dbid | additional.fields[].value.string_value | 值直接映射。 |
| ml_domain_index | additional.fields[].key | 键设置为“ml_domain_index”。 |
| ml_domain_index | additional.fields[].value.string_value | 值直接映射。 |
| ml_log_arglen | additional.fields[].key | 键设置为“ml_log_arglen”。 |
| ml_log_arglen | additional.fields[].value.string_value | 值直接映射。 |
| ml_log_hmm_probability | additional.fields[].key | 键设置为“ml_log_hmm_probability”。 |
| ml_log_hmm_probability | additional.fields[].value.string_value | 值直接映射。 |
| ml_log_sample_arglen_mean | additional.fields[].key | 键设置为“ml_log_sample_arglen_mean”。 |
| ml_log_sample_arglen_mean | additional.fields[].value.string_value | 值直接映射。 |
| ml_log_sample_prob_mean | additional.fields[].key | 键设置为“ml_log_sample_prob_mean”。 |
| ml_log_sample_prob_mean | additional.fields[].value.string_value | 值直接映射。 |
| ml_svm_accuracy | additional.fields[].key | 键设置为“ml_svm_accuracy”。 |
| ml_svm_accuracy | additional.fields[].value.string_value | 值直接映射。 |
| ml_svm_log_main_types | additional.fields[].key | 键设置为“ml_svm_log_main_types”。 |
| ml_svm_log_main_types | additional.fields[].value.string_value | 值直接映射。 |
| ml_svm_log_match_types | additional.fields[].key | 键设置为“ml_svm_log_match_types”。 |
| ml_svm_log_match_types | additional.fields[].value.string_value | 值直接映射。 |
| ml_url_dbid | additional.fields[].key | 键设置为“ml_url_dbid”。 |
| ml_url_dbid | additional.fields[].value.string_value | 值直接映射。 |
| monitor_status | additional.fields[].key | 键设置为“monitor_status”。 |
| monitor_status | additional.fields[].value.string_value | 值直接映射。 |
| msg | metadata.description | 值直接映射。 |
| owasp_top10 | additional.fields[].key | 键设置为“owaspTop10”。 |
| owasp_top10 | additional.fields[].value.string_value | 值直接映射。 |
| principal_app | principal.application | 值直接映射。 |
| principal_host | principal.hostname | 值直接映射。 |
| proto | network.ip_protocol | 在转换为大写后直接映射值。 |
| 请求 | target.url | 值直接映射。 |
| requestMethod | network.http.method | 值直接映射。 |
| rt | metadata.event_timestamp.seconds | 解析为自纪元以来的毫秒数,并转换为秒。 |
| security_result.severity | security_result.severity | 派生自 severity_level。根据原始日志值映射到不同的 UDM 严重程度值。如果未找到匹配项,则默认为 UNKNOWN_SEVERITY。 |
| server_pool_name | additional.fields[].key | 键设置为“server_pool_name”。 |
| server_pool_name | additional.fields[].value.string_value | 值直接映射。 |
| 服务 | network.application_protocol | 在转换为大写后直接映射值。 |
| 服务 | target.application | 如果值不是 HTTPS、HTTP、DNS、DHCP 或 SMB,则在转换为大写后直接映射。 |
| 和程度上减少 | security_result.severity | 如果严重程度为空且 cs3Label 为“level”,则使用 cs3 的值。然后映射到 UDM 严重程度值(LOW、HIGH 等)。 |
| signature_id | security_result.rule_id | 值直接映射。 |
| signature_subclass | security_result.detection_fields[].key | 键设置为“signature_subclass”。 |
| signature_subclass | security_result.detection_fields[].value | 值直接映射。 |
| src | principal.ip | 值直接映射。 |
| src_country | principal.location.country_or_region | 值直接映射。 |
| src_ip | principal.ip | 值直接映射。 |
| src_port | principal.port | 值会直接映射并转换为整数。 |
| srccountry | principal.location.country_or_region | 值直接映射。 |
| sub_type | additional.fields[].key | 键设置为“subType”。 |
| sub_type | additional.fields[].value.string_value | 值直接映射。 |
| 子类型 | target.resource.resource_subtype | 值直接映射。 |
| suid | principal.user.userid | 值直接映射。 |
| threat_level | additional.fields[].key | 键设置为“threatLevel”。 |
| threat_level | additional.fields[].value.string_value | 值直接映射。 |
| threat_weight | security_result.detection_fields[].key | 键设置为“threat_weight”。 |
| threat_weight | security_result.detection_fields[].value | 值直接映射。 |
| 时间 | metadata.event_timestamp.seconds | 与日期结合并解析以生成纪元秒数。 |
| user_id | principal.user.product_object_id | 值直接映射。 |
| user_name | additional.fields[].key | 键设置为“userName”。 |
| user_name | additional.fields[].value.string_value | 值直接映射。 |
| user_name | principal.user.userid | 值直接映射。 |
| 不适用 | metadata.event_type | 如果 principal.ip 和 target.ip 同时存在,则设置为“NETWORK_CONNECTION”。如果 principal.ip 和 principal.user 均存在,则设置为“USER_UNCATEGORIZED”。如果仅存在 principal.ip,则设置为“STATUS_UPDATE”。否则,设置为“GENERIC_EVENT”。 |
| 不适用 | metadata.log_type | 硬编码为“FORTINET_FORTIWEB”。 |
| 不适用 | metadata.product_name | 根据日志格式硬编码为“FORTINET FORTIWEB”或“FortiWEB Cloud”。 |
| 不适用 | metadata.vendor_name | 根据日志格式硬编码为“FORTINET”或“Fortinet”。 |
| 不适用 | principal.resource.resource_type | 如果存在 dev_id,则硬编码为“DEVICE”。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。