Coletar registros do Fortinet Switch

Compatível com:

Google SecOps SIEM

Neste guia, explicamos como ingerir registros do Fortinet Switch no Google Security Operations usando o agente do Bindplane.

O Fortinet Switch é uma linha de switches Ethernet seguros e de alto desempenho projetados para redes corporativas. O FortiSwitch oferece recursos de comutação de camada 2 e camada 3, suporte a VLAN, agregação de links, Power over Ethernet (PoE) e recursos de segurança integrados. As unidades FortiSwitch podem operar no modo independente ou ser gerenciadas por firewalls FortiGate via FortiLink.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps.
Windows Server 2016 ou mais recente ou host Linux com systemd.
Conectividade de rede entre o agente do Bindplane e o switch da Fortinet.
Se você estiver executando um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao console de gerenciamento do switch Fortinet ou ao console do FortiGate (para switches gerenciados).
Switch Fortinet com FortiSwitchOS 7.0 ou mais recente.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Clique em Fazer o download para baixar o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortiswitch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTINET_SWITCH
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/fortiswitch_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/fortiswitch

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:

O receptor está configurado para detectar na porta UDP 514 mensagens syslog do Fortinet Switch.
Para detectar em todas as interfaces, use 0.0.0.0:514.
Para usar uma porta não privilegiada no Linux, mude para 0.0.0.0:1514 e configure o Fortinet Switch para enviar à porta 1514.

Configuração do exportador:

creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
- Linux: /etc/bindplane-agent/ingestion-auth.json
- Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
customer_id: ID do cliente da etapa anterior.
endpoint: URL do endpoint regional:
- EUA: malachiteingestion-pa.googleapis.com
- Europa: europe-malachiteingestion-pa.googleapis.com
- Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
- Consulte a lista completa em Endpoints regionais.
log_type: precisa ser exatamente FORTINET_SWITCH.
ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Linux

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Windows

Escolha uma das seguintes opções:
- Usando o prompt de comando ou o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Usando o console do Services:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog do switch Fortinet

Configure o Fortinet Switch para enviar registros ao agente do Bindplane. As etapas de configuração variam de acordo com o tipo de switch (independente ou gerenciado pelo FortiGate).

Para FortiSwitch independente (configuração da GUI)

Faça login na interface da Web do FortiSwitch.
Acesse Registro > Configuração.
Em Syslog, selecione Ativar.
Selecione a gravidade dos eventos a serem registrados (por exemplo, Informações ou superior).
No campo Servidor, insira o endereço IP ou o nome de domínio totalmente qualificado do host do agente do Bindplane.
No campo Porta, insira 514 (ou a porta configurada no agente do Bindplane).
No menu suspenso Facility, selecione local7.
Clique em Aplicar.

Para FortiSwitch independente (configuração da CLI)

Faça login na CLI do FortiSwitch por SSH ou console.

Digite os seguintes comandos:

config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
    set facility local7
end

config log syslogd filter
    set severity information
end

Substitua <BINDPLANE_AGENT_IP> pelo endereço IP do host do agente do Bindplane.

Para verificar a configuração:
```
show log syslogd setting
```

Para FortiSwitch gerenciado pelo FortiGate

Quando o FortiSwitch é gerenciado pelo FortiGate, configure o encaminhamento de syslog na CLI do FortiGate.

Faça login na CLI do FortiGate via SSH ou console.

Insira os comandos a seguir para configurar o syslog remoto para o FortiSwitch gerenciado:

config switch-controller remote-log
    edit "chronicle-syslog"
        set status enable
        set server <BINDPLANE_AGENT_IP>
        set port 514
        set severity information
        set facility local7
    next
end

Substitua <BINDPLANE_AGENT_IP> pelo endereço IP do host do agente do Bindplane.

Para verificar a configuração:
```
show switch-controller remote-log
```
Verifique se a política de firewall do FortiGate permite o tráfego do syslog da interface FortiLink para a interface em que o agente do Bindplane está localizado. Se necessário, crie uma política:
```
config firewall policy
    edit 0
        set srcintf <fortilink_interface>
        set dstintf <bindplane_interface>
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "SYSLOG"
    next
end
```
Substitua <fortilink_interface> pelo nome da interface FortiLink e <bindplane_interface> pela interface em que o agente do Bindplane pode ser acessado.

Observação: por padrão, os registros do FortiSwitch são enviados para a porta 514 do servidor syslog remoto.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
	metadata.event_type	O tipo de evento representado por este registro.
evento	metadata.product_event_type	O tipo de evento conforme informado pelo produto.
log_id	metadata.product_log_id	Identificador exclusivo da entrada de registro atribuído pelo produto.
device_id	principal.asset.asset_id	Identificador exclusivo do recurso.
devname	principal.asset.hostname	Nome do host do recurso associado ao principal.
devname	principal.hostname	Nome do host associado ao principal.
vd	principal.user.attribute.labels	Lista de rótulos associados ao usuário.
oldrole	principal.user.attribute.roles	Lista de funções associadas ao usuário.
unidade	principal.user.role_description	Descrição da função do usuário.
usuário	principal.user.userid	Identificador exclusivo do usuário.
ação	security_result.action_details	Detalhes sobre a ação realizada.
msg	security_result.description	Descrição do resultado de segurança.
type, subtype, switch.physical-port, instanceid	security_result.detection_fields	Lista de campos usados para detecção.
pri	security_result.priority_details	Detalhes sobre a prioridade do evento.
status	security_result.summary	Resumo do resultado de segurança.
newrole	target.user.attribute.roles	Lista de funções associadas ao usuário de destino.
	metadata.product_name	Nome do produto que gerou o evento.
	metadata.vendor_name	Nome do fornecedor que produziu o produto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.