Fortinet Web Proxy のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Fortinet Web Proxy のログを Google Security Operations に取り込む方法について説明します。
Fortinet FortiGate Web Proxy は、明示的プロキシ セッションと透過プロキシ セッションのログを生成し、HTTP/HTTPS トラフィック、URL フィルタリングの決定、ウェブアクセス イベントをキャプチャします。ログは Syslog Key-Value 形式を使用し、ネットワーク メタデータ、セキュリティ アクション、ユーザー ID 情報が含まれます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと FortiGate アプライアンス間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認してください
- 管理者権限で FortiGate アプライアンスへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows にインストールする
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux にインストールする
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスは active(running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fortinet_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORTINET_WEBPROXY raw_log_field: body ingestion_labels: env: production service: pipelines: logs/webproxy_to_chronicle: receivers: - udplog exporters: - chronicle/fortinet_webproxy
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: プロトコルに基づくレシーバーのタイプ:- UDP Syslog の場合は
udplog - TCP Syslog の場合は
tcplog
- UDP Syslog の場合は
0.0.0.0: リッスンする IP アドレス:0.0.0.0: すべてのインターフェースでリッスンする(推奨)- 1 つのインターフェースでリッスンする特定の IP アドレス
514: リッスンするポート番号(514、1514、6514など)
エクスポータの構成:
fortinet_webproxy: エクスポータのわかりやすい名前creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<customer_id>: 前のステップのお客様 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
FORTINET_WEBPROXY: Chronicle に表示されるログタイプingestion_labels: YAML 形式のオプションのラベル(例:env: production)
パイプラインの構成:
webproxy_to_chronicle: パイプラインのわかりやすい名前
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [File > Save] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rを押して「services.msc」と入力し、Enter キーを押します。- [observIQ OpenTelemetry Collector] を探します。
- 右クリックして [Restart] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Fortinet FortiGate Web Proxy の Syslog 転送を構成する
- FortiGate ウェブ インターフェースにログインします。
- [Log & Report] > [Log Settings] に移動します。
- [Remote Logging and Archiving] セクションまで下にスクロールします。
- [Syslog] で [Add] をクリックします。
- 次の構成の詳細を指定します。
- 名前: わかりやすい名前を入力します(例:
Chronicle-Bindplane)。 - IP アドレス/FQDN: Bindplane エージェント ホストの IP アドレスを入力します(例:
192.168.1.100)。 - ポート:
514と入力します(Bindplane エージェント レシーバー ポートと一致する必要があります)。 - [Protocol]: [**UDP**] を選択します。
- [Minimum Level]: [Information] または [Notification] を選択します。
- 名前: わかりやすい名前を入力します(例:
[Web Proxy] ログカテゴリが有効になっていることを確認します。または、CLI を使用して Syslog フィルタを構成します。
config log syslogd setting set status enable set server <BINDPLANE_AGENT_IP> set port 514 end config log syslogd filter set filter "logid(0300)" set filter-type include end0300のログ ID 範囲は、ウェブ プロキシ イベントを対象としています。環境に合わせてフィルタを調整します。<BINDPLANE_AGENT_IP>は、Bindplane エージェント ホストの IP アドレスに置き換えます。
[OK] をクリックして保存します。
右上の [適用] をクリックして構成を適用します。
Bindplane エージェントのログを確認して、Syslog メッセージが受信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| group、profile、agent、subtype、catdesc、reqtype | additional.fields | 各フィールドから作成されたラベルとマージ |
| action、has_network、has_principal、has_target | metadata.event_type | action が auth-logon の場合は USER_LOGIN に設定 has_network が true の場合は NETWORK_HTTP に設定 has_principal と has_target が true の場合は NETWORK_CONNECTION に設定 has_principal が true の場合は STATUS_UPDATE に設定 それ以外の場合は GENERIC_EVENT に設定 |
| eventtype | metadata.product_event_type | 値を直接コピー |
| logid | metadata.product_log_id | 値を直接コピー |
| metadata.product_name | 「FORTINET_WEBPROXY」に設定 | |
| metadata.vendor_name | 「FORTINET_WEBPROXY」に設定 | |
| サービス | network.application_protocol | サービスが HTTP、HTTPS の場合は値を直接コピー |
| direction | network.direction | direction が incoming、inbound、response の場合は INBOUND に設定 outgoing、outbound の場合は OUTBOUND に設定 |
| httpmethod | network.http.method | httpmethod が GET、POST の場合は値を直接コピー |
| referralurl | network.http.referral_url | 値を直接コピー |
| proto、subtype、service | network.ip_protocol | proto=17 の場合は UDP に設定 proto=6 または subtype=wad の場合は TCP に設定 proto=41 の場合は IP6IN4 に設定 service=PING または proto=1 または service が ICMP と一致する場合は ICMP に設定 |
| rcvdbyte | network.received_bytes | 符号なし整数に変換 |
| sentbyte | network.sent_bytes | 符号なし整数に変換 |
| sessionid | network.session_id | 値を直接コピー |
| devname | principal.asset.hostname | 値を直接コピー |
| srcip | principal.asset.ip | 値を直接コピー |
| devname | principal.hostname | 値を直接コピー |
| srcip | principal.ip | 値を直接コピー |
| srccountry | principal.location.country_or_region | Reserved でなく空でない場合は値を直接コピー |
| srcport | principal.port | 整数に変換 |
| srcuuid | principal.user.product_object_id | 値を直接コピー |
| vd | principal.user.user_display_name | 値を直接コピー |
| ユーザー | principal.user.userid | 値を直接コピー |
| filtername | security_result.about.resource.attribute.labels | 空でなく - でない場合は、filtername から作成されたラベルとマージ |
| アクション | security_result.action | action=blocked の場合は BLOCK に設定 action が accept、passthrough の場合は ALLOW に設定 |
| devid、policyid、srcintf、srcintfrole、ratemethod、cat | security_result.detection_fields | 各フィールドから作成されたラベルとマージ |
| msg | security_result.description | 値を直接コピー |
| poluuid | security_result.rule_id | 値を直接コピー |
| policytype | security_result.rule_type | 値を直接コピー |
| レベル | security_result.severity | level=warning の場合は HIGH に設定 level=notice の場合は MEDIUM に設定 |
| type | security_result.summary | 値を直接コピー |
| dstip | target.asset.ip | 値を直接コピー |
| filename | target.file.full_path | 値を直接コピー |
| filetype | target.file.mime_type | 値を直接コピー |
| filesize | target.file.size | 符号なし整数に変換 |
| hostname | target.hostname | 値を直接コピー |
| dstip | target.ip | 値を直接コピー |
| dstcountry | target.location.country_or_region | 値を直接コピー |
| dstport | target.port | 整数に変換 |
| dstintf、dstintfrole | target.resource.attribute.labels | 各フィールドから作成されたラベルとマージ |
| dstuuid | target.resource.product_object_id | 値を直接コピー |
| URL | target.url | 値を直接コピー |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。