Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Fortinet FortiMail

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Fortinet FortiMail à l'aide de Bindplane. L'analyseur extrait les paires clé-valeur, normalise différents champs tels que les codes temporels et les adresses IP, et les mappe dans un modèle de données unifié (UDM) pour Google Security Operations. Il catégorise le type d'événement en fonction des informations disponibles.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Fortinet Fortimail.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: fortinet_fortimail
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le syslog Fortinet FortiMail

Connectez-vous à l'interface Web de l'appareil FortiMail.
Sélectionnez Journal et rapport > Paramètres du journal > À distance.
Cliquez sur Nouveau pour créer une entrée.
Dans la boîte de dialogue qui s'affiche, sélectionnez Activer pour autoriser la journalisation sur un hôte distant.
Spécifiez les informations suivantes :
- Nom : saisissez un nom unique et explicite.
- Nom/Adresse IP du serveur : saisissez l'adresse IP Bindplane.
- Port du serveur : saisissez le numéro de port UDP Bindplane.
- Niveau : sélectionnez Information comme niveau de gravité.
- Établissement : saisissez un identifiant d'établissement unique et vérifiez qu'aucun autre appareil réseau n'utilise le même identifiant.
- Désélectionnez le format CSV.
- Protocole de journalisation : sélectionnez Syslog.
- Configuration de la stratégie de journalisation : activez le transfert de tous les types d'événements ou de journaux.
Cliquez sur Créer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
authid	read_only_udm.target.user.email_addresses	Si le champ `authid` contient `@`, mappez-le sur ce champ.
authid	read_only_udm.target.user.userid	Mapper le champ `authid` à ce champ
chiffrement	read_only_udm.network.tls.cipher	Mapper le champ `cipher` à ce champ
client_ip	read_only_udm.principal.ip	Mapper le champ `client_ip` à ce champ
client_name	read_only_udm.principal.hostname	Mapper le champ `client_name` à ce champ
détail	read_only_udm.security_result.summary	Mapper le champ `detail` à ce champ
device_id	read_only_udm.principal.resource.id	Mapper le champ `device_id` à ce champ
devname	read_only_udm.principal.resource.name	Mapper le champ `devname` à ce champ
direction	read_only_udm.network.direction	Si le champ `direction` est égal à `out`, mappez la valeur `OUTBOUND`. Si le champ `direction` est égal à `in`, mappez la valeur `INBOUND`. Sinon, mappez la valeur `UNKNOWN_DIRECTION`.
disposition	read_only_udm.security_result.detection_fields.value	Mappez le champ `disposition` à ce champ lorsque le champ clé est égal à `Disposition`.
domaine	read_only_udm.principal.administrative_domain	Mapper le champ `domain` à ce champ
dst_ip	read_only_udm.target.ip	Mapper le champ `dst_ip` à ce champ
de	read_only_udm.network.email.from	Si le champ `from` contient `@`, mappez-le sur ce champ.
log_id	read_only_udm.metadata.product_log_id	Mapper le champ `log_id` à ce champ
message_id	read_only_udm.network.email.mail_id	Mapper le champ `message_id` à ce champ
message_length	read_only_udm.additional.fields.value.number_value	Mappez le champ `message_length` à ce champ lorsque le champ clé est égal à `message_length`.
Message	read_only_udm.security_result.description	Mapper le champ `msg` à ce champ
polid	read_only_udm.security_result.detection_fields.value	Mappez le champ `polid` à ce champ lorsque le champ clé est égal à `Polid`.
relay	read_only_udm.intermediary.ip	Mapper le champ `relay` à ce champ
résolue	read_only_udm.security_result.detection_fields.value	Mappez le champ `resolved` à ce champ lorsque le champ clé est égal à `Resolved`.
session_id	read_only_udm.network.session_id	Mapper le champ `session_id` à ce champ
src_type	read_only_udm.additional.fields.value.string_value	Mappez le champ `src_type` à ce champ lorsque le champ clé est égal à `src_type`.
stat	read_only_udm.metadata.description	Mapper le champ `stat` à ce champ
subject	read_only_udm.network.email.subject	Mapper le champ `subject` à ce champ
à	read_only_udm.network.email.to	Si le champ `to` contient `@`, mappez-le sur ce champ.
utilisateur	read_only_udm.principal.user.userid	Mapper le champ `user` à ce champ
N/A	read_only_udm.extensions.auth.mechanism	La valeur de ce champ est codée en dur dans le code du parseur en tant que `USERNAME_PASSWORD` lorsque le champ `authid` existe.
N/A	read_only_udm.extensions.auth.type	La valeur de ce champ est codée en dur dans le code du parseur en tant que `AUTHTYPE_UNSPECIFIED` lorsque le champ `authid` existe.
N/A	read_only_udm.metadata.event_type	La valeur de ce champ est déterminée par la logique de l'analyseur en fonction d'une combinaison de champs disponibles. Si le champ `from` existe, la valeur est `EMAIL_TRANSACTION`. Sinon, si le champ `to` existe, la valeur est `EMAIL_UNCATEGORIZED`. Sinon, si les champs `client_ip` et `dst_ip` existent, la valeur est `NETWORK_CONNECTION`. Sinon, si le champ `authid` existe, la valeur est `USER_LOGIN`. Sinon, si le champ `user` existe, la valeur est `USER_UNCATEGORIZED`. Sinon, si le champ `client_ip` existe, la valeur est `STATUS_UPDATE`. Sinon, la valeur est `GENERIC_EVENT`.
N/A	read_only_udm.metadata.log_type	La valeur de ce champ est codée en dur dans le code du parseur en tant que `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.product_name	La valeur de ce champ est codée en dur dans le code du parseur en tant que `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.vendor_name	La valeur de ce champ est codée en dur dans le code du parseur en tant que `FORTINET`.
N/A	read_only_udm.principal.resource.resource_type	La valeur de ce champ est codée en dur dans le code du parseur en tant que `DEVICE`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.