Collecter les journaux Fortinet FortiAuthenticator

Compatible avec :

Ce document explique comment ingérer des journaux Fortinet FortiAuthenticator dans Google Security Operations à l'aide de Bindplane.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Fortinet FortiAuthenticator.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIAUTHENTICATOR
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer un serveur Syslog dans FortiAuthenticator

  1. Connectez-vous à l'interface utilisateur Web FortiAuthenticator.
  2. Sélectionnez Logging > Log config > Syslog servers (Journalisation > Configuration des journaux > Serveurs Syslog).
  3. Dans la liste Serveurs Syslog, sélectionnez Créer.
  4. Spécifiez les informations de configuration suivantes :
    • Nom : saisissez un nom unique pour le serveur syslog. Par exemple, Google SecOps.
    • Nom/Adresse IP du serveur : saisissez l'adresse IP de votre agent Bindplane.
    • Port : saisissez le numéro de port de l'agent Bindplane, par exemple 514.
    • Niveau : sélectionnez Information.
    • Établissement : sélectionnez un établissement.
  5. Sélectionnez OK pour ajouter le serveur syslog.

Configurer le syslog à distance dans FortiAuthenticator

  1. Après avoir ajouté le serveur syslog, sélectionnez Logging > Log config > Log settings (Journalisation > Configuration des journaux > Paramètres des journaux).
  2. Dans la section Syslog distant, cliquez pour activer l'option Envoyer les journaux aux serveurs syslog distants.
  3. Sélectionnez le nom du serveur créé précédemment et déplacez-le dans la liste Serveur syslog choisi.
  4. Cliquez sur OK.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.