Fortinet 웹 프록시 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Fortinet 웹 프록시 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Fortinet FortiGate 웹 프록시는 명시적 및 투명 프록시 세션의 로그를 생성하여 HTTP/HTTPS 트래픽, URL 필터링 결정, 웹 액세스 이벤트를 캡처합니다. 로그는 syslog 키-값 형식을 사용하며 네트워크 메타데이터, 보안 작업, 사용자 ID 정보를 포함합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 FortiGate 어플라이언스 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- 관리자 권한이 있는 FortiGate 어플라이언스에 대한 권한 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/fortinet_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: FORTINET_WEBPROXY raw_log_field: body ingestion_labels: env: production service: pipelines: logs/webproxy_to_chronicle: receivers: - udplog exporters: - chronicle/fortinet_webproxy
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
udplog: 프로토콜 기반 수신기 유형입니다.- UDP syslog용
udplog - TCP syslog용
tcplog
- UDP syslog용
0.0.0.0: 리슨할 IP 주소:0.0.0.0: 모든 인터페이스에서 수신 대기 (권장)- 하나의 인터페이스에서 수신 대기할 특정 IP 주소
514: 수신할 포트 번호입니다 (예:514,1514,6514).
내보내기 도구 구성:
fortinet_webproxy: 내보내기 도구의 설명 이름creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<customer_id>: 이전 단계의 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
FORTINET_WEBPROXY: Chronicle에 표시되는 로그 유형ingestion_labels: YAML 형식의 선택적 라벨 (예:env: production)
파이프라인 구성:
webproxy_to_chronicle: 파이프라인의 설명 이름
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell을 실행합니다.
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Fortinet FortiGate 웹 프록시 syslog 전달 구성
- FortiGate 웹 인터페이스에 로그인합니다.
- 로그 및 보고서 > 로그 설정으로 이동합니다.
- 원격 로깅 및 보관 섹션까지 아래로 스크롤합니다.
- Syslog에서 추가를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
Chronicle-Bindplane). - IP 주소/FQDN: Bindplane 에이전트 호스트의 IP 주소를 입력합니다 (예:
192.168.1.100). - 포트:
514을 입력합니다 (Bindplane 에이전트 수신기 포트와 일치해야 함). - 프로토콜: UDP를 선택합니다.
- 최소 수준: 정보 또는 알림을 선택합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
웹 프록시 로그 카테고리가 사용 설정되어 있는지 확인합니다. 또는 CLI를 사용하여 syslog 필터를 구성합니다.
config log syslogd setting set status enable set server <BINDPLANE_AGENT_IP> set port 514 end config log syslogd filter set filter "logid(0300)" set filter-type include end0300로그 ID 범위는 웹 프록시 이벤트를 포함합니다. 환경에 따라 필터를 조정합니다.<BINDPLANE_AGENT_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
확인을 클릭하여 저장합니다.
오른쪽 상단에서 적용을 클릭하여 구성을 적용합니다.
Bindplane 에이전트 로그를 확인하여 syslog 메시지가 수신되고 있는지 확인합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| group, profile, agent, subtype, catdesc, reqtype | additional.fields | 각 필드에서 생성된 라벨과 병합됨 |
| action, has_network, has_principal, has_target | metadata.event_type | 작업이 auth-logon인 경우 USER_LOGIN으로 설정되고, has_network가 true인 경우 NETWORK_HTTP로 설정되고, has_principal 및 has_target이 true인 경우 NETWORK_CONNECTION으로 설정되고, has_principal이 true인 경우 STATUS_UPDATE로 설정되고, 그 밖의 경우 GENERIC_EVENT로 설정됩니다. |
| eventtype | metadata.product_event_type | 값이 직접 복사됨 |
| logid | metadata.product_log_id | 값이 직접 복사됨 |
| metadata.product_name | 'FORTINET_WEBPROXY'로 설정 | |
| metadata.vendor_name | 'FORTINET_WEBPROXY'로 설정 | |
| 서비스 | network.application_protocol | 서비스가 HTTP, HTTPS인 경우 직접 복사된 값 |
| direction | network.direction | 수신, 인바운드, 응답인 경우 INBOUND로 설정하고 발신, 아웃바운드인 경우 OUTBOUND로 설정합니다. |
| httpmethod | network.http.method | GET, POST의 httpmethod인 경우 값이 직접 복사됨 |
| referralurl | network.http.referral_url | 값이 직접 복사됨 |
| proto, subtype, service | network.ip_protocol | proto=17이면 UDP로, proto=6 또는 subtype=wad이면 TCP로, proto=41이면 IP6IN4로, service=PING 또는 proto=1이거나 서비스가 ICMP와 일치하면 ICMP로 설정됩니다. |
| rcvdbyte | network.received_bytes | 부호 없는 정수로 변환됨 |
| sentbyte | network.sent_bytes | 부호 없는 정수로 변환됨 |
| sessionid | network.session_id | 값이 직접 복사됨 |
| devname | principal.asset.hostname | 값이 직접 복사됨 |
| srcip | principal.asset.ip | 값이 직접 복사됨 |
| devname | principal.hostname | 값이 직접 복사됨 |
| srcip | principal.ip | 값이 직접 복사됨 |
| srccountry | principal.location.country_or_region | 예약되지 않고 비어 있지 않은 경우 직접 복사된 값 |
| srcport | principal.port | 정수로 변환됨 |
| srcuuid | principal.user.product_object_id | 값이 직접 복사됨 |
| vd | principal.user.user_display_name | 값이 직접 복사됨 |
| 사용자 | principal.user.userid | 값이 직접 복사됨 |
| filtername | security_result.about.resource.attribute.labels | 비어 있지 않고 -가 아닌 경우 filtername에서 생성된 라벨과 병합됩니다. |
| action | security_result.action | action=blocked인 경우 BLOCK으로 설정, 허용, 패스스루의 경우 ALLOW로 설정 |
| devid, policyid, srcintf, srcintfrole, ratemethod, cat | security_result.detection_fields | 각 필드에서 생성된 라벨과 병합됨 |
| msg | security_result.description | 값이 직접 복사됨 |
| poluuid | security_result.rule_id | 값이 직접 복사됨 |
| policytype | security_result.rule_type | 값이 직접 복사됨 |
| 레벨 | security_result.severity | level=warning인 경우 HIGH, level=notice인 경우 MEDIUM으로 설정 |
| 유형 | security_result.summary | 값이 직접 복사됨 |
| dstip | target.asset.ip | 값이 직접 복사됨 |
| filename | target.file.full_path | 값이 직접 복사됨 |
| filetype | target.file.mime_type | 값이 직접 복사됨 |
| filesize | target.file.size | 부호 없는 정수로 변환됨 |
| 호스트 이름 | target.hostname | 값이 직접 복사됨 |
| dstip | target.ip | 값이 직접 복사됨 |
| dstcountry | target.location.country_or_region | 값이 직접 복사됨 |
| dstport | target.port | 정수로 변환됨 |
| dstintf, dstintfrole | target.resource.attribute.labels | 각 필드에서 생성된 라벨과 병합됨 |
| dstuuid | target.resource.product_object_id | 값이 직접 복사됨 |
| url | target.url | 값이 직접 복사됨 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.