Fortinet 스위치 로그 수집

이 가이드에서는 Bindplane 에이전트를 사용하여 Fortinet Switch 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Fortinet Switch는 엔터프라이즈 네트워크용으로 설계된 안전한 고성능 이더넷 스위치 제품군입니다. FortiSwitch는 레이어 2 및 레이어 3 스위칭 기능, VLAN 지원, 링크 집계, 이더넷을 통한 전원 공급 (PoE), 통합 보안 기능을 제공합니다. FortiSwitch 장치는 독립형 모드로 작동하거나 FortiLink를 통해 FortiGate 방화벽으로 관리할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• Google SecOps 인스턴스
• Windows Server 2016 이상 또는 systemd가 있는 Linux 호스트
• Bindplane 에이전트와 Fortinet 스위치 간 네트워크 연결
• 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
• Fortinet 스위치 관리 콘솔 또는 FortiGate 콘솔 (관리 스위치의 경우)에 대한 액세스 권한
• FortiSwitchOS 7.0 이상을 실행하는 Fortinet 스위치

Google SecOps 수집 인증 파일 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 수집 에이전트로 이동합니다.
3. 다운로드를 클릭하여 수집 인증 파일을 다운로드합니다.

4. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 프로필로 이동합니다.

3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

2. 다음 명령어를 실행합니다.

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 설치가 완료될 때까지 기다립니다.

4. 다음을 실행하여 설치를 확인합니다.

   sc query observiq-otel-collector
   

   서비스가 실행 중으로 표시되어야 합니다.

Linux 설치

1. 루트 또는 sudo 권한으로 터미널을 엽니다.

2. 다음 명령어를 실행합니다.

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 설치가 완료될 때까지 기다립니다.

4. 다음을 실행하여 설치를 확인합니다.

   sudo systemctl status observiq-otel-collector
   

   서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

구성 매개변수

다음 자리표시자를 바꿉니다.

수신기 구성:

• 수신기는 Fortinet 스위치에서 syslog 메시지를 수신 대기하도록 UDP 포트 514에서 구성됩니다.
• 모든 인터페이스에서 수신 대기하려면 0.0.0.0:514를 사용합니다.
• Linux에서 권한이 없는 포트를 사용하려면 0.0.0.0:1514로 변경하고 포트 1514로 전송하도록 Fortinet 스위치를 구성합니다.

내보내기 도구 구성:

• creds_file_path: 수집 인증 파일의 전체 경로입니다.
  • Linux: /etc/bindplane-agent/ingestion-auth.json
  • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
• customer_id: 이전 단계의 고객 ID입니다.
• endpoint: 리전 엔드포인트 URL:
  • 미국: malachiteingestion-pa.googleapis.com
  • 유럽: europe-malachiteingestion-pa.googleapis.com
  • 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
  • 전체 목록은 리전 엔드포인트를 참고하세요.
• log_type: 정확히 FORTINET_SWITCH이어야 합니다.
• ingestion_labels: YAML 형식의 선택적 라벨입니다 (예: env: production).

구성 파일 저장

수정 후 파일을 저장합니다.

• Linux: Ctrl+O, Enter, Ctrl+X를 차례로 누릅니다.
• Windows: 파일 > 저장을 클릭합니다.

변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.

• Linux

  sudo systemctl restart observiq-otel-collector
  

  1. 서비스가 실행 중인지 확인합니다.

     sudo systemctl status observiq-otel-collector
     

  2. 로그에서 오류를 확인합니다.

     sudo journalctl -u observiq-otel-collector -f
     

• Windows

  다음 옵션 중 하나를 선택합니다.

  • 명령 프롬프트 또는 PowerShell을 관리자로 사용합니다.

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 서비스 콘솔 사용:

    1. Win+R를 누르고 services.msc를 입력한 다음 Enter 키를 누릅니다.
    2. observIQ OpenTelemetry Collector를 찾습니다.

    3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.

    4. 서비스가 실행 중인지 확인합니다.

       sc query observiq-otel-collector
       

    5. 로그에서 오류를 확인합니다.

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Fortinet 스위치 syslog 전달 구성

Bindplane 에이전트로 로그를 보내도록 Fortinet 스위치를 구성합니다. 구성 단계는 스위치가 독립형인지 아니면 FortiGate에서 관리하는지에 따라 다릅니다.

독립형 FortiSwitch (GUI 구성)

1. FortiSwitch 웹 인터페이스에 로그인합니다.
2. 로그 > 구성으로 이동합니다.
3. Syslog에서 사용 설정을 선택합니다.
4. 로깅할 이벤트의 심각도를 선택합니다 (예: 정보 이상).
5. 서버 필드에 Bindplane 에이전트 호스트의 IP 주소 또는 정규화된 도메인 이름을 입력합니다.
6. 포트 필드에 514 (또는 Bindplane 에이전트에서 구성된 포트)을 입력합니다.
7. 기능 드롭다운에서 local7을 선택합니다.
8. 적용을 클릭합니다.

독립형 FortiSwitch (CLI 구성)

1. SSH 또는 콘솔을 통해 FortiSwitch CLI에 로그인합니다.

2. 다음 명령어를 입력합니다.

   config log syslogd setting
       set status enable
       set server <BINDPLANE_AGENT_IP>
       set port 514
       set facility local7
   end
   
   config log syslogd filter
       set severity information
   end
   

   <BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.

3. 구성 확인

   show log syslogd setting
   

FortiGate에서 관리하는 FortiSwitch

FortiGate에서 FortiSwitch를 관리하는 경우 FortiGate CLI에서 시스템 로그 전달을 구성합니다.

1. SSH 또는 콘솔을 통해 FortiGate CLI에 로그인합니다.

2. 다음 명령어를 입력하여 관리형 FortiSwitch의 원격 syslog를 구성합니다.

   config switch-controller remote-log
       edit "chronicle-syslog"
           set status enable
           set server <BINDPLANE_AGENT_IP>
           set port 514
           set severity information
           set facility local7
       next
   end
   

   <BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.

3. 구성 확인

   show switch-controller remote-log
   

4. FortiGate 방화벽 정책이 FortiLink 인터페이스에서 Bindplane 에이전트가 있는 인터페이스로 syslog 트래픽을 허용하는지 확인합니다. 필요한 경우 정책을 만듭니다.

   config firewall policy
       edit 0
           set srcintf <fortilink_interface>
           set dstintf <bindplane_interface>
           set srcaddr "all"
           set dstaddr "all"
           set action accept
           set schedule "always"
           set service "SYSLOG"
       next
   end
   

   <fortilink_interface>을 FortiLink 인터페이스 이름으로, <bindplane_interface>을 Bindplane 에이전트에 연결할 수 있는 인터페이스로 바꿉니다.

UDM 매핑 테이블

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.