Fortinet Switch-Logs erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Fortinet Switch-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Fortinet Switch ist eine Reihe von sicheren und leistungsstarken Ethernet-Switches, die für Unternehmensnetzwerke entwickelt wurden. FortiSwitch bietet Layer 2- und Layer 3-Switching-Funktionen, VLAN-Unterstützung, Link-Aggregation, Power over Ethernet (PoE) und integrierte Sicherheitsfunktionen. FortiSwitch-Einheiten können im eigenständigen Modus betrieben oder über FortiLink von FortiGate-Firewalls verwaltet werden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Windows Server 2016 oder höher oder Linux-Host mit systemd.
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem Fortinet-Switch.
  • Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
  • Privilegierter Zugriff auf die Fortinet Switch-Verwaltungskonsole oder die FortiGate-Konsole (für verwaltete Switches).
  • Fortinet-Switch mit FortiSwitchOS 7.0 oder höher.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
  3. Klicken Sie auf Herunterladen, um die Datei zur Authentifizierung der Aufnahme herunterzuladen.

  4. Speichern Sie die Datei sicher auf dem System, auf dem der Bindplane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

    Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

    Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:

  • Der Empfänger ist so konfiguriert, dass er auf UDP-Port 514 auf Syslog-Nachrichten vom Fortinet-Switch wartet.
  • Verwenden Sie 0.0.0.0:514, um alle Schnittstellen zu überwachen.
  • Wenn Sie unter Linux einen nicht privilegierten Port verwenden möchten, wechseln Sie zu 0.0.0.0:1514 und konfigurieren Sie den Fortinet-Switch so, dass er an Port 1514 sendet.

Exporter-Konfiguration:

  • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: Kunden-ID aus dem vorherigen Schritt.
  • endpoint: Regionale Endpunkt-URL:
    • USA: malachiteingestion-pa.googleapis.com
    • Europa: europe-malachiteingestion-pa.googleapis.com
    • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
  • log_type: Muss genau FORTINET_SWITCH sein.
  • ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Linux

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • Windows

    Wählen Sie eine der folgenden Optionen aus:

    • So verwenden Sie die Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services Console verwenden:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Fortinet Switch konfigurieren

Fortinet Switch so konfigurieren, dass Logs an den BindPlane-Agenten gesendet werden Die Konfigurationsschritte variieren je nachdem, ob der Switch eigenständig ist oder von FortiGate verwaltet wird.

Für eigenständige FortiSwitch-Geräte (GUI-Konfiguration)

  1. Melden Sie sich in der Weboberfläche von FortiSwitch an.
  2. Rufen Sie Log > Config auf.
  3. Wählen Sie unter Syslog die Option Aktivieren aus.
  4. Wählen Sie den Schweregrad der zu protokollierenden Ereignisse aus, z. B. Information oder höher.
  5. Geben Sie im Feld Server die IP-Adresse oder den vollständig qualifizierten Domainnamen des Bindplane-Agent-Hosts ein.
  6. Geben Sie im Feld Port den Wert 514 ein (oder den im Bindplane-Agent konfigurierten Port).
  7. Wählen Sie im Drop-down-Menü Einrichtung die Option local7 aus.
  8. Klicken Sie auf Übernehmen.

Für eigenständige FortiSwitch-Geräte (CLI-Konfiguration)

  1. Melden Sie sich über SSH oder die Konsole in der FortiSwitch-Befehlszeile an.

  2. Geben Sie die folgenden Befehle ein:

    config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
    set facility local7
end

config log syslogd filter
    set severity information
end

    Ersetzen Sie <BINDPLANE_AGENT_IP> durch die IP-Adresse des Bindplane-Agent-Hosts.

  3. Konfiguration prüfen:

    show log syslogd setting

Für FortiSwitch, die von FortiGate verwaltet werden

Wenn FortiSwitch von FortiGate verwaltet wird, konfigurieren Sie die Syslog-Weiterleitung über die FortiGate-Befehlszeile.

  1. Melden Sie sich über SSH oder die Konsole in der FortiGate-CLI an.

  2. Geben Sie die folgenden Befehle ein, um das Remote-Syslog für verwaltete FortiSwitch-Geräte zu konfigurieren:

    config switch-controller remote-log
    edit "chronicle-syslog"
        set status enable
        set server <BINDPLANE_AGENT_IP>
        set port 514
        set severity information
        set facility local7
    next
end

    Ersetzen Sie <BINDPLANE_AGENT_IP> durch die IP-Adresse des Bindplane-Agent-Hosts.

  3. Konfiguration prüfen:

    show switch-controller remote-log

  4. Achten Sie darauf, dass die FortiGate-Firewallrichtlinie Syslog-Traffic von der FortiLink-Schnittstelle zur Schnittstelle zulässt, auf der sich der Bindplane-Agent befindet. Erstellen Sie bei Bedarf eine Richtlinie:

    config firewall policy
    edit 0
        set srcintf <fortilink_interface>
        set dstintf <bindplane_interface>
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "SYSLOG"
    next
end

    Ersetzen Sie <fortilink_interface> durch den Namen der FortiLink-Schnittstelle und <bindplane_interface> durch die Schnittstelle, über die der Bindplane-Agent erreichbar ist.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
metadata.event_type Der Typ des Ereignisses, das durch diesen Datensatz dargestellt wird.
Event metadata.product_event_type Der Ereignistyp, wie er vom Produkt gemeldet wird.
log_id metadata.product_log_id Eindeutige Kennung für den Logeintrag, die vom Produkt zugewiesen wird.
device_id principal.asset.asset_id Eindeutige Kennung für das Asset.
devname principal.asset.hostname Hostname des Assets, das mit dem Rechtssubjekt verknüpft ist.
devname principal.hostname Der mit dem Prinzipal verknüpfte Hostname.
vd principal.user.attribute.labels Liste der Labels, die dem Nutzer zugeordnet sind.
oldrole principal.user.attribute.roles Liste der Rollen, die dem Nutzer zugewiesen sind.
Einheit principal.user.role_description Beschreibung der Rolle des Nutzers.
Nutzer principal.user.userid Eindeutige Kennung für den Nutzer.
Aktion security_result.action_details Details zur ergriffenen Maßnahme.
msg security_result.description Beschreibung des Sicherheitsergebnisses.
type, subtype, switch.physical-port, instanceid security_result.detection_fields Liste der Felder, die für die Erkennung verwendet wurden.
pri security_result.priority_details Details zur Priorität des Ereignisses.
Status security_result.summary Zusammenfassung des Sicherheitsergebnisses.
newrole target.user.attribute.roles Liste der Rollen, die dem Zielnutzer zugewiesen sind.
metadata.product_name Name des Produkts, das das Ereignis generiert hat.
metadata.vendor_name Name des Anbieters, der das Produkt hergestellt hat.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten