Collecter les journaux Fortinet Web Proxy
Ce document explique comment ingérer des journaux de proxy Web Fortinet dans Google Security Operations à l'aide de l'agent Bindplane.
Le proxy Web Fortinet FortiGate génère des journaux pour les sessions de proxy explicites et transparentes, en capturant le trafic HTTP/HTTPS, les décisions de filtrage d'URL et les événements d'accès au Web. Les journaux utilisent le format clé/valeur syslog et incluent des métadonnées réseau, des actions de sécurité et des informations sur l'identité des utilisateurs.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Connectivité réseau entre l'agent Bindplane et l'appliance FortiGate
- Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à l'appliance FortiGate avec des autorisations d'administrateur
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collectorLe service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collectorLe service doit être indiqué comme actif (en cours d'exécution).
Autres ressources d'installation
Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /opt/observiq-otel-collector/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifiez le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fortinet_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORTINET_WEBPROXY raw_log_field: body ingestion_labels: env: production service: pipelines: logs/webproxy_to_chronicle: receivers: - udplog exporters: - chronicle/fortinet_webproxy
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
udplog: type de récepteur basé sur le protocole :udplogpour le syslog UDPtcplogpour syslog TCP
0.0.0.0: adresse IP à écouter :0.0.0.0pour écouter sur toutes les interfaces (recommandé)- Adresse IP spécifique à écouter sur une interface
514: numéro de port à écouter (par exemple,514,1514,6514)
Configuration de l'exportateur :
fortinet_webproxy: nom descriptif de l'exportateur.creds_file_path: chemin d'accès complet au fichier d'authentification de l'ingestion :- Linux :
/etc/bindplane-agent/ingestion-auth.json - Windows :
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux :
<customer_id>: ID client de l'étape précédenteendpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe :
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
FORTINET_WEBPROXY: type de journal tel qu'il apparaît dans Chronicleingestion_labels: libellés facultatifs au format YAML (par exemple,env: production)
Configuration du pipeline :
webproxy_to_chronicle: nom descriptif du pipeline.
Enregistrez le fichier de configuration.
- Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur Fichier > Enregistrer.
- Linux : appuyez sur
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
Invite de commande ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Localisez observIQ OpenTelemetry Collector.
- Effectuez un clic droit, puis sélectionnez Redémarrer.
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Appuyez sur
Configurer le transfert syslog du proxy Web Fortinet FortiGate
- Connectez-vous à l'interface Web FortiGate.
- Accédez à Journal et rapport > Paramètres du journal.
- Faites défiler la page jusqu'à la section Journalisation et archivage à distance.
- Sous Syslog, cliquez sur Ajouter.
- Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple,
Chronicle-Bindplane). - Adresse IP/Nom de domaine complet : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple,
192.168.1.100). - Port : saisissez
514(doit correspondre au port du récepteur de l'agent Bindplane). - Protocole : sélectionnez UDP.
- Niveau minimal : sélectionnez Information ou Notification.
- Nom : saisissez un nom descriptif (par exemple,
Assurez-vous que la catégorie de journaux Proxy Web est activée. Vous pouvez également utiliser la CLI pour configurer le filtre syslog :
config log syslogd setting set status enable set server <BINDPLANE_AGENT_IP> set port 514 end config log syslogd filter set filter "logid(0300)" set filter-type include end- La plage d'ID de journaux
0300couvre les événements de proxy Web. Ajustez le filtre en fonction de votre environnement. - Remplacez
<BINDPLANE_AGENT_IP>par l'adresse IP de l'hôte de l'agent Bindplane.
- La plage d'ID de journaux
Cliquez sur OK pour enregistrer.
Cliquez sur Appliquer en haut à droite pour appliquer la configuration.
Vérifiez que les messages syslog sont reçus en consultant les journaux de l'agent Bindplane.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| group, profile, agent, subtype, catdesc, reqtype | additional.fields | Fusionnées avec les libellés créés à partir de chaque champ |
| action, has_network, has_principal, has_target | metadata.event_type | Défini sur USER_LOGIN si l'action est auth-logon, sur NETWORK_HTTP si has_network est défini sur "true", sur NETWORK_CONNECTION si has_principal et has_target sont définis sur "true", sur STATUS_UPDATE si has_principal est défini sur "true", ou sur GENERIC_EVENT |
| eventtype | metadata.product_event_type | Valeur copiée directement |
| logid | metadata.product_log_id | Valeur copiée directement |
| metadata.product_name | Défini sur "FORTINET_WEBPROXY" | |
| metadata.vendor_name | Défini sur "FORTINET_WEBPROXY" | |
| service | network.application_protocol | Valeur copiée directement si le service est en HTTP ou HTTPS |
| direction | network.direction | Définissez sur INBOUND si la direction est entrante, entrante ou une réponse. Sinon, définissez sur OUTBOUND si la direction est sortante ou sortante. |
| httpmethod | network.http.method | Valeur copiée directement si httpmethod est GET ou POST |
| referralurl | network.http.referral_url | Valeur copiée directement |
| proto, sous-type, service | network.ip_protocol | Définissez sur UDP si proto=17, sur TCP si proto=6 ou subtype=wad, sur IP6IN4 si proto=41, sur ICMP si service=PING ou proto=1 ou si le service correspond à ICMP. |
| rcvdbyte | network.received_bytes | Converti en entier non signé |
| sentbyte | network.sent_bytes | Converti en entier non signé |
| sessionid | network.session_id | Valeur copiée directement |
| devname | principal.asset.hostname | Valeur copiée directement |
| srcip | principal.asset.ip | Valeur copiée directement |
| devname | principal.hostname | Valeur copiée directement |
| srcip | principal.ip | Valeur copiée directement |
| srccountry | principal.location.country_or_region | Valeur copiée directement si elle n'est pas réservée et n'est pas vide |
| srcport | principal.port | Converti en entier |
| srcuuid | principal.user.product_object_id | Valeur copiée directement |
| vd | principal.user.user_display_name | Valeur copiée directement |
| utilisateur | principal.user.userid | Valeur copiée directement |
| filtername | security_result.about.resource.attribute.labels | Fusionné avec le libellé créé à partir du nom du filtre s'il n'est pas vide et n'est pas "-". |
| action | security_result.action | Définissez sur BLOCK si action=blocked, ALLOW si action dans accept, passthrough |
| devid, policyid, srcintf, srcintfrole, ratemethod, cat | security_result.detection_fields | Fusionnées avec les libellés créés à partir de chaque champ |
| Message | security_result.description | Valeur copiée directement |
| poluuid | security_result.rule_id | Valeur copiée directement |
| policytype | security_result.rule_type | Valeur copiée directement |
| niveau | security_result.severity | Définissez sur "HIGH" si level=warning, sur "MEDIUM" si level=notice. |
| type | security_result.summary | Valeur copiée directement |
| dstip | target.asset.ip | Valeur copiée directement |
| filename | target.file.full_path | Valeur copiée directement |
| filetype | target.file.mime_type | Valeur copiée directement |
| filesize | target.file.size | Converti en entier non signé |
| nom d'hôte | target.hostname | Valeur copiée directement |
| dstip | target.ip | Valeur copiée directement |
| dstcountry | target.location.country_or_region | Valeur copiée directement |
| dstport | target.port | Converti en entier |
| dstintf, dstintfrole | target.resource.attribute.labels | Fusionnées avec les libellés créés à partir de chaque champ |
| dstuuid | target.resource.product_object_id | Valeur copiée directement |
| url | target.url | Valeur copiée directement |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.