Collecter les journaux Fortinet Switch

Compatible avec :

Ce guide explique comment ingérer des journaux Fortinet Switch dans Google Security Operations à l'aide de l'agent Bindplane.

Fortinet Switch est une gamme de commutateurs Ethernet sécurisés et performants conçus pour les réseaux d'entreprise. FortiSwitch offre des fonctionnalités de commutation de couche 2 et de couche 3, la prise en charge des VLAN, l'agrégation de liens, l'alimentation par Ethernet (PoE) et des fonctionnalités de sécurité intégrées. Les unités FortiSwitch peuvent fonctionner en mode autonome ou être gérées par des pare-feu FortiGate via FortiLink.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps.
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd.
  • Connectivité réseau entre l'agent Bindplane et le commutateur Fortinet.
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console de gestion Fortinet Switch ou à la console FortiGate (pour les commutateurs gérés).
  • Un commutateur Fortinet exécutant FortiSwitchOS 7.0 ou version ultérieure.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agent de collecte.
  3. Cliquez sur Télécharger pour télécharger le fichier d'authentification pour l'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.

  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :

  • Le récepteur est configuré pour écouter le port UDP 514 pour les messages syslog provenant de Fortinet Switch.
  • Pour écouter sur toutes les interfaces, utilisez 0.0.0.0:514.
  • Pour utiliser un port non privilégié sur Linux, passez à 0.0.0.0:1514 et configurez Fortinet Switch pour qu'il envoie les données au port 1514.

Configuration de l'exportateur :

  • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
    • Linux : /etc/bindplane-agent/ingestion-auth.json
    • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id : ID client de l'étape précédente.
  • endpoint : URL du point de terminaison régional :
    • États-Unis : malachiteingestion-pa.googleapis.com
    • Europe : europe-malachiteingestion-pa.googleapis.com
    • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
  • log_type : doit être exactement FORTINET_SWITCH.
  • ingestion_labels : libellés facultatifs au format YAML (par exemple, env: production).

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Linux

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Windows

    Choisissez l'une des options suivantes :

    • À l'aide de l'invite de commandes ou de PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Utiliser la console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog Fortinet Switch

Configurez Fortinet Switch pour envoyer des journaux à l'agent Bindplane. Les étapes de configuration diffèrent selon que le commutateur est autonome ou géré par FortiGate.

Pour un FortiSwitch autonome (configuration de l'interface graphique)

  1. Connectez-vous à l'interface Web FortiSwitch.
  2. Accédez à Journal > Configuration.
  3. Sous Syslog, sélectionnez Activer.
  4. Sélectionnez la gravité des événements à consigner (par exemple, Information ou plus).
  5. Dans le champ Serveur, saisissez l'adresse IP ou le nom de domaine complet de l'hôte de l'agent Bindplane.
  6. Dans le champ Port, saisissez 514 (ou le port configuré dans l'agent Bindplane).
  7. Dans le menu déroulant Facility (Établissement), sélectionnez local7.
  8. Cliquez sur Appliquer.

Pour un FortiSwitch autonome (configuration de la CLI)

  1. Connectez-vous à la CLI FortiSwitch via SSH ou la console.

  2. Saisissez les commandes suivantes :

    config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
    set facility local7
end

config log syslogd filter
    set severity information
end

    Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'hôte de l'agent Bindplane.

  3. Vérifiez la configuration :

    show log syslogd setting

Pour FortiSwitch géré par FortiGate

Lorsque FortiSwitch est géré par FortiGate, configurez le transfert syslog à partir de la CLI FortiGate.

  1. Connectez-vous à la CLI FortiGate via SSH ou la console.

  2. Saisissez les commandes suivantes pour configurer syslog à distance pour un FortiSwitch géré :

    config switch-controller remote-log
    edit "chronicle-syslog"
        set status enable
        set server <BINDPLANE_AGENT_IP>
        set port 514
        set severity information
        set facility local7
    next
end

    Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'hôte de l'agent Bindplane.

  3. Vérifiez la configuration :

    show switch-controller remote-log

  4. Assurez-vous que la règle de pare-feu FortiGate autorise le trafic syslog de l'interface FortiLink vers l'interface où se trouve l'agent Bindplane. Si nécessaire, créez une règle :

    config firewall policy
    edit 0
        set srcintf <fortilink_interface>
        set dstintf <bindplane_interface>
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "SYSLOG"
    next
end

    Remplacez <fortilink_interface> par le nom de l'interface FortiLink et <bindplane_interface> par l'interface où l'agent Bindplane est accessible.

Table de mappage UDM

Champ du journal Mappage UDM Logique
metadata.event_type Type d'événement représenté par cet enregistrement.
événement metadata.product_event_type Type d'événement tel qu'indiqué par le produit.
log_id metadata.product_log_id Identifiant unique de l'entrée de journal attribué par le produit.
device_id principal.asset.asset_id Identifiant unique de l'asset.
devname principal.asset.hostname Nom d'hôte de l'élément associé au compte principal.
devname principal.hostname Nom d'hôte associé au compte principal.
vd principal.user.attribute.labels Liste des libellés associés à l'utilisateur.
oldrole principal.user.attribute.roles Liste des rôles associés à l'utilisateur.
unit principal.user.role_description Description du rôle de l'utilisateur.
utilisateur principal.user.userid Identifiant unique de l'utilisateur.
action security_result.action_details Détails sur l'action entreprise.
Message security_result.description Description du résultat de sécurité.
type, subtype, switch.physical-port, instanceid security_result.detection_fields Liste des champs utilisés pour la détection.
pri security_result.priority_details Informations sur la priorité de l'événement.
état security_result.summary Résumé du résultat de sécurité.
newrole target.user.attribute.roles Liste des rôles associés à l'utilisateur cible.
metadata.product_name Nom du produit qui a généré l'événement.
metadata.vendor_name Nom du fournisseur qui a produit le produit.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.