Raccogliere i log dello switch Fortinet

Supportato in:

Questa guida spiega come importare i log di Fortinet Switch in Google Security Operations utilizzando l'agente Bindplane.

Fortinet Switch è una linea di switch Ethernet sicuri e ad alte prestazioni progettati per le reti aziendali. FortiSwitch offre funzionalità di switching di livello 2 e livello 3, supporto VLAN, aggregazione di link, Power over Ethernet (PoE) e funzionalità di sicurezza integrate. Le unità FortiSwitch possono funzionare in modalità autonoma o essere gestite dai firewall FortiGate tramite FortiLink.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Windows Server 2016 o versioni successive oppure host Linux con systemd.
  • Connettività di rete tra l'agente Bindplane e lo switch Fortinet.
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
  • Accesso con privilegi alla console di gestione dello switch Fortinet o alla console FortiGate (per gli switch gestiti).
  • Switch Fortinet con FortiSwitchOS 7.0 o versioni successive.

Recuperare il file di autenticazione dell'importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agente di raccolta.
  3. Fai clic su Scarica per scaricare il file di autenticazione dell'importazione.

  4. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:

  • Il ricevitore è configurato per ascoltare sulla porta UDP 514 i messaggi syslog provenienti da Fortinet Switch.
  • Per ascoltare su tutte le interfacce, utilizza 0.0.0.0:514.
  • Per utilizzare una porta non privilegiata su Linux, passa a 0.0.0.0:1514 e configura Fortinet Switch per l'invio alla porta 1514.

Configurazione dell'esportatore:

  • creds_file_path: percorso completo del file di autenticazione importazione:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: l'ID cliente del passaggio precedente.
  • endpoint: URL endpoint regionale:
    • Stati Uniti: malachiteingestion-pa.googleapis.com
    • Europa: europe-malachiteingestion-pa.googleapis.com
    • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    • Per un elenco completo, vedi Endpoint regionali.
  • log_type: deve essere esattamente FORTINET_SWITCH.
  • ingestion_labels: Etichette facoltative in formato YAML (ad esempio, env: production).

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Linux

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

      sudo journalctl -u observiq-otel-collector -f

  • Windows

    Scegli una delle seguenti opzioni:

    • Utilizzando il prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Utilizzo della console Services:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro syslog di Fortinet Switch

Configura Fortinet Switch in modo che invii i log all'agente Bindplane. I passaggi di configurazione variano a seconda che lo switch sia autonomo o gestito da FortiGate.

Per FortiSwitch autonomo (configurazione GUI)

  1. Accedi all'interfaccia web di FortiSwitch.
  2. Vai a Log > Configurazione.
  3. In Syslog, seleziona Attiva.
  4. Seleziona la gravità degli eventi da registrare (ad esempio Informazioni o superiore).
  5. Nel campo Server, inserisci l'indirizzo IP o il nome di dominio completo dell'host dell'agente Bindplane.
  6. Nel campo Porta, inserisci 514 (o la porta configurata nell'agente Bindplane).
  7. Nel menu a discesa Struttura, seleziona local7.
  8. Fai clic su Applica.

Per FortiSwitch autonomo (configurazione CLI)

  1. Accedi alla CLI di FortiSwitch tramite SSH o console.

  2. Inserisci i seguenti comandi:

    config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
    set facility local7
end

config log syslogd filter
    set severity information
end

    Sostituisci <BINDPLANE_AGENT_IP> con l'indirizzo IP dell'host dell'agente Bindplane.

  3. Verifica la configurazione:

    show log syslogd setting

Per FortiSwitch gestito da FortiGate

Quando FortiSwitch è gestito da FortiGate, configura l'inoltro di syslog dalla CLI FortiGate.

  1. Accedi alla CLI di FortiGate tramite SSH o console.

  2. Inserisci i seguenti comandi per configurare syslog remoto per FortiSwitch gestito:

    config switch-controller remote-log
    edit "chronicle-syslog"
        set status enable
        set server <BINDPLANE_AGENT_IP>
        set port 514
        set severity information
        set facility local7
    next
end

    Sostituisci <BINDPLANE_AGENT_IP> con l'indirizzo IP dell'host dell'agente Bindplane.

  3. Verifica la configurazione:

    show switch-controller remote-log

  4. Assicurati che la policy firewall FortiGate consenta il traffico syslog dall'interfaccia FortiLink all'interfaccia in cui si trova l'agente Bindplane. Se necessario, crea una policy:

    config firewall policy
    edit 0
        set srcintf <fortilink_interface>
        set dstintf <bindplane_interface>
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "SYSLOG"
    next
end

    Sostituisci <fortilink_interface> con il nome dell'interfaccia FortiLink e <bindplane_interface> con l'interfaccia in cui è raggiungibile l'agente Bindplane.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
metadata.event_type Il tipo di evento rappresentato da questo record.
evento metadata.product_event_type Il tipo di evento segnalato dal prodotto.
log_id metadata.product_log_id Identificatore univoco della voce di log assegnato dal prodotto.
device_id principal.asset.asset_id Identificatore univoco della risorsa.
devname principal.asset.hostname Il nome host della risorsa associata all'entità.
devname principal.hostname Il nome host associato all'entità.
vd principal.user.attribute.labels Elenco delle etichette associate all'utente.
oldrole principal.user.attribute.roles Elenco dei ruoli associati all'utente.
unità principal.user.role_description Descrizione del ruolo dell'utente.
utente principal.user.userid Identificatore univoco dell'utente.
azione security_result.action_details Dettagli sull'azione intrapresa.
msg security_result.description Descrizione del risultato di sicurezza.
type, subtype, switch.physical-port, instanceid security_result.detection_fields Elenco dei campi utilizzati per il rilevamento.
pri security_result.priority_details Dettagli sulla priorità dell'evento.
stato security_result.summary Riepilogo del risultato della sicurezza.
newrole target.user.attribute.roles Elenco dei ruoli associati all'utente di destinazione.
metadata.product_name Nome del prodotto che ha generato l'evento.
metadata.vendor_name Nome del fornitore che ha prodotto il prodotto.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.