Mengumpulkan log Fortinet Web Proxy

Didukung di:

Dokumen ini menjelaskan cara menyerap log Fortinet Web Proxy ke Google Security Operations menggunakan agen Bindplane.

Proxy web Fortinet FortiGate membuat log untuk sesi proxy eksplisit dan transparan, yang mencatat traffic HTTP/HTTPS, keputusan pemfilteran URL, dan peristiwa akses web. Log menggunakan format nilai kunci syslog dan mencakup metadata jaringan, tindakan keamanan, dan informasi identitas pengguna.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan perangkat FortiGate
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke perangkat FortiGate dengan izin administrator

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.

  4. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

    Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

    Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /opt/observiq-otel-collector/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/fortinet_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: FORTINET_WEBPROXY
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/webproxy_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/fortinet_webproxy

Parameter konfigurasi

Ganti placeholder berikut:

  • Konfigurasi penerima:

    • udplog: Jenis penerima berdasarkan protokol:
      • udplog untuk syslog UDP
      • tcplog untuk syslog TCP
    • 0.0.0.0: Alamat IP yang akan didengarkan:
      • 0.0.0.0 untuk mendengarkan di semua antarmuka (direkomendasikan)
      • Alamat IP tertentu untuk memproses permintaan di satu antarmuka
    • 514: Nomor port yang akan diproses (misalnya, 514, 1514, 6514)

  • Konfigurasi eksportir:

    • fortinet_webproxy: Nama deskriptif untuk eksportir
    • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • <customer_id>: ID Pelanggan dari langkah sebelumnya
    • endpoint: URL endpoint regional:
      • Amerika Serikat: malachiteingestion-pa.googleapis.com
      • Eropa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
    • FORTINET_WEBPROXY: Jenis log persis seperti yang muncul di Chronicle
    • ingestion_labels: Label opsional dalam format YAML (misalnya, env: production)

  • Konfigurasi pipeline:

    • webproxy_to_chronicle: Nama deskriptif untuk pipeline

Simpan file konfigurasi

  • Setelah mengedit, simpan file:
    • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
    • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.
      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog proxy web Fortinet FortiGate

  1. Login ke antarmuka web FortiGate.
  2. Buka Log & Report > Log Settings.
  3. Scroll ke bawah ke bagian Logging dan Pengarsipan Jarak Jauh.
  4. Di bagian Syslog, klik Tambahkan.
  5. Berikan detail konfigurasi berikut:
    • Name: Masukkan nama deskriptif (misalnya, Chronicle-Bindplane).
    • IP Address/FQDN: Masukkan alamat IP host agen Bindplane (misalnya, 192.168.1.100).
    • Port: Masukkan 514 (harus cocok dengan port penerima agen BindPlane).
    • Protocol: Pilih UDP.
    • Tingkat Minimum: Pilih Informasi atau Pemberitahuan.

  6. Pastikan kategori log Web Proxy diaktifkan. Atau, gunakan CLI untuk mengonfigurasi filter syslog:

    config log syslogd setting
    set status enable
    set server <BINDPLANE_AGENT_IP>
    set port 514
end
config log syslogd filter
    set filter "logid(0300)"
    set filter-type include
end
    • Rentang ID log 0300 mencakup peristiwa proxy web. Sesuaikan filter sesuai dengan lingkungan Anda.
    • Ganti <BINDPLANE_AGENT_IP> dengan alamat IP host agen Bindplane.

  7. Klik Oke untuk menyimpan.

  8. Klik Terapkan di kanan atas untuk menerapkan konfigurasi.

  9. Pastikan pesan syslog diterima dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
group, profile, agent, subtype, catdesc, reqtype additional.fields Digabungkan dengan label yang dibuat dari setiap kolom
action, has_network, has_principal, has_target metadata.event_type Ditetapkan ke USER_LOGIN jika tindakan adalah auth-logon, atau NETWORK_HTTP jika has_network benar (true), atau NETWORK_CONNECTION jika has_principal dan has_target benar (true), atau STATUS_UPDATE jika has_principal benar (true), atau GENERIC_EVENT
eventtype metadata.product_event_type Nilai disalin secara langsung
logid metadata.product_log_id Nilai disalin secara langsung
metadata.product_name Tetapkan ke "FORTINET_WEBPROXY"
metadata.vendor_name Tetapkan ke "FORTINET_WEBPROXY"
pelanggan network.application_protocol Nilai disalin secara langsung jika layanan dalam HTTP, HTTPS
direction network.direction Disetel ke INBOUND jika arahnya masuk, masuk, respons, atau OUTBOUND jika keluar, keluar
httpmethod network.http.method Nilai disalin langsung jika httpmethod di GET, POST
referralurl network.http.referral_url Nilai disalin secara langsung
proto, subtype, service network.ip_protocol Disetel ke UDP jika proto=17, TCP jika proto=6 atau subtype=wad, IP6IN4 jika proto=41, ICMP jika service=PING atau proto=1 atau service cocok dengan ICMP
rcvdbyte network.received_bytes Dikonversi menjadi bilangan bulat tidak bertanda
sentbyte network.sent_bytes Dikonversi menjadi bilangan bulat tidak bertanda
sessionid network.session_id Nilai disalin secara langsung
devname principal.asset.hostname Nilai disalin secara langsung
srcip principal.asset.ip Nilai disalin secara langsung
devname principal.hostname Nilai disalin secara langsung
srcip principal.ip Nilai disalin secara langsung
srccountry principal.location.country_or_region Nilai disalin langsung jika tidak Dicadangkan dan tidak kosong
srcport principal.port Dikonversi ke bilangan bulat
srcuuid principal.user.product_object_id Nilai disalin secara langsung
vd principal.user.user_display_name Nilai disalin secara langsung
pengguna principal.user.userid Nilai disalin secara langsung
filtername security_result.about.resource.attribute.labels Digabungkan dengan label yang dibuat dari nama filter jika tidak kosong dan bukan -
tindakan security_result.action Disetel ke BLOCK jika action=blocked, ALLOW jika action di accept, passthrough
devid, policyid, srcintf, srcintfrole, ratemethod, cat security_result.detection_fields Digabungkan dengan label yang dibuat dari setiap kolom
msg security_result.description Nilai disalin secara langsung
poluuid security_result.rule_id Nilai disalin secara langsung
policytype security_result.rule_type Nilai disalin secara langsung
level security_result.severity Ditetapkan ke TINGGI jika level=peringatan, SEDANG jika level=pemberitahuan
jenis security_result.summary Nilai disalin secara langsung
dstip target.asset.ip Nilai disalin secara langsung
filename target.file.full_path Nilai disalin secara langsung
filetype target.file.mime_type Nilai disalin secara langsung
filesize target.file.size Dikonversi menjadi bilangan bulat tidak bertanda
hostname target.hostname Nilai disalin secara langsung
dstip target.ip Nilai disalin secara langsung
dstcountry target.location.country_or_region Nilai disalin secara langsung
dstport target.port Dikonversi ke bilangan bulat
dstintf, dstintfrole target.resource.attribute.labels Digabungkan dengan label yang dibuat dari setiap kolom
dstuuid target.resource.product_object_id Nilai disalin secara langsung
url target.url Nilai disalin secara langsung

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.