Mengumpulkan log Fortinet Switch

Didukung di:

Panduan ini menjelaskan cara menyerap log Fortinet Switch ke Google Security Operations menggunakan agen Bindplane.

Fortinet Switch adalah rangkaian switch Ethernet berperforma tinggi yang aman dan dirancang untuk jaringan perusahaan. FortiSwitch menyediakan kemampuan switching Lapisan 2 dan Lapisan 3, dukungan VLAN, agregasi link, Power over Ethernet (PoE), dan fitur keamanan terintegrasi. Unit FortiSwitch dapat beroperasi dalam mode mandiri atau dikelola oleh firewall FortiGate melalui FortiLink.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Konektivitas jaringan antara agen Bindplane dan Fortinet Switch.
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane.
  • Akses istimewa ke konsol pengelolaan Fortinet Switch atau konsol FortiGate (untuk switch terkelola).
  • Switch Fortinet yang menjalankan FortiSwitchOS 7.0 atau yang lebih baru.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Klik Download untuk mendownload file autentikasi penyerapan.

  4. Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen BindPlane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

    Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

    Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:

  • Penerima dikonfigurasi untuk memproses pesan syslog dari Fortinet Switch di port UDP 514.
  • Untuk memproses semua antarmuka, gunakan 0.0.0.0:514.
  • Untuk menggunakan port yang tidak memiliki hak istimewa di Linux, beralihlah ke 0.0.0.0:1514 dan konfigurasi Fortinet Switch untuk mengirim ke port 1514.

Konfigurasi eksportir:

  • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: ID Pelanggan dari langkah sebelumnya.
  • endpoint: URL endpoint regional:
    • Amerika Serikat: malachiteingestion-pa.googleapis.com
    • Eropa: europe-malachiteingestion-pa.googleapis.com
    • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
  • log_type: Harus persis FORTINET_SWITCH.
  • ingestion_labels: Label opsional dalam format YAML (misalnya, env: production).

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X.
  • Windows: Klik File > Save.

Mulai ulang agen BindPlane untuk menerapkan perubahan

  • Linux

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Windows

    Pilih salah satu opsi berikut:

    • Menggunakan Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Menggunakan konsol Layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Fortinet Switch

Konfigurasi Fortinet Switch untuk mengirim log ke agen BindPlane. Langkah-langkah konfigurasi akan berbeda, bergantung pada apakah switch bersifat mandiri atau dikelola oleh FortiGate.

Untuk FortiSwitch mandiri (konfigurasi GUI)

  1. Login ke antarmuka web FortiSwitch.
  2. Buka Log > Config.
  3. Di bagian Syslog, pilih Aktifkan.
  4. Pilih tingkat keparahan peristiwa yang akan dicatat (misalnya, Informasi atau lebih tinggi).
  5. Di kolom Server, masukkan alamat IP atau nama domain yang sepenuhnya memenuhi syarat dari host agen Bindplane.
  6. Di kolom Port, masukkan 514 (atau port yang dikonfigurasi di agen Bindplane).
  7. Di dropdown Facility, pilih local7.
  8. Klik Terapkan.

Untuk FortiSwitch mandiri (konfigurasi CLI)

  1. Login ke FortiSwitch CLI melalui SSH atau konsol.

  2. Masukkan perintah berikut:

    config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
    set facility local7
end

config log syslogd filter
    set severity information
end

    Ganti <BINDPLANE_AGENT_IP> dengan alamat IP host agen Bindplane.

  3. Verifikasi konfigurasi:

    show log syslogd setting

Untuk FortiSwitch yang dikelola oleh FortiGate

Saat FortiSwitch dikelola oleh FortiGate, konfigurasi penerusan syslog dari FortiGate CLI.

  1. Login ke FortiGate CLI melalui SSH atau konsol.

  2. Masukkan perintah berikut untuk mengonfigurasi syslog jarak jauh untuk FortiSwitch terkelola:

    config switch-controller remote-log
    edit "chronicle-syslog"
        set status enable
        set server <BINDPLANE_AGENT_IP>
        set port 514
        set severity information
        set facility local7
    next
end

    Ganti <BINDPLANE_AGENT_IP> dengan alamat IP host agen Bindplane.

  3. Verifikasi konfigurasi:

    show switch-controller remote-log

  4. Pastikan kebijakan firewall FortiGate mengizinkan traffic syslog dari antarmuka FortiLink ke antarmuka tempat agen Bindplane berada. Jika perlu, buat kebijakan:

    config firewall policy
    edit 0
        set srcintf <fortilink_interface>
        set dstintf <bindplane_interface>
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "SYSLOG"
    next
end

    Ganti <fortilink_interface> dengan nama antarmuka FortiLink dan <bindplane_interface> dengan antarmuka tempat agen Bindplane dapat dijangkau.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
metadata.event_type Jenis peristiwa yang diwakili oleh catatan ini.
event metadata.product_event_type Jenis peristiwa seperti yang dilaporkan oleh produk.
log_id metadata.product_log_id ID unik untuk entri log sebagaimana ditetapkan oleh produk.
device_id principal.asset.asset_id ID unik untuk aset.
devname principal.asset.hostname Nama host aset yang terkait dengan akun utama.
devname principal.hostname Nama host yang terkait dengan akun utama.
vd principal.user.attribute.labels Daftar label yang terkait dengan pengguna.
oldrole principal.user.attribute.roles Daftar peran yang terkait dengan pengguna.
unit principal.user.role_description Deskripsi peran pengguna.
pengguna principal.user.userid ID unik untuk pengguna.
tindakan security_result.action_details Detail tentang tindakan yang dilakukan.
msg security_result.description Deskripsi hasil keamanan.
type, subtype, switch.physical-port, instanceid security_result.detection_fields Daftar kolom yang digunakan untuk deteksi.
pri security_result.priority_details Detail tentang prioritas acara.
status security_result.summary Ringkasan hasil keamanan.
newrole target.user.attribute.roles Daftar peran yang terkait dengan pengguna target.
metadata.product_name Nama produk yang menghasilkan peristiwa.
metadata.vendor_name Nama vendor yang memproduksi produk.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.