Recoger registros de FortiSASE de Fortinet

En este documento se explica cómo exportar registros de Fortinet FortiSASE configurando el agente de Bindplane.

Para obtener más información, consulta el artículo Descripción general de la ingesta de datos en Google SecOps.

Una implementación típica consta de FortiSASE configurado para reenviar registros a un FortiAnalyzer situado detrás de un centro de FortiGate de acceso privado seguro. FortiAnalyzer está configurado para reenviar registros a un agente de Bindplane mediante syslog. El agente de Bindplane reenvía los registros a Google SecOps. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

• FortiSASE la plataforma desde la que recoges los registros.

• FortiAnalyzer el destino de agregación de registros para exportar registros de FortiSASE.

• Agente de Bindplane: el agente de Bindplane obtiene registros de Fortinet FortiSASE y los envía a Google SecOps.

• Google SecOps: conserva y analiza los registros.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta FORTINET_FORTIANALYZER.

Configurar la exportación de registros de FortiSASE a FortiAnalyzer

• Sigue la documentación de Fortinet sobre reenvío de registros a un servidor externo para configurar FortiSASE de forma que envíe registros a FortiAnalyzer.

Configurar syslog en la plataforma FortiAnalyzer

• Configura FortiAnalyzer para exportar datos de registro a un agente de Bindplane siguiendo la documentación sobre recogida de registros de Fortinet FortiAnalyzer.

Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de SecOps de Google.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.