Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Fortinet FortiMail

Compatible avec:

Google SecOps SIEM

Ce document explique comment collecter les journaux Fortinet FortiMail à l'aide de Bindplane. L'analyseur extrait les paires clé-valeur, normalise divers champs tels que les codes temporels et les adresses IP, et les met en correspondance avec un modèle de données unifié (UDM) pour Google Security Operations. Il catégorise le type d'événement en fonction des informations disponibles.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Fortinet Fortimail.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

Accédez au fichier de configuration:
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

Modifiez le fichier config.yaml comme suit :

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: fortinet_fortimail
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.
Remplacez <customer_id> par le numéro client réel.
Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le journal Syslog Fortinet FortiMail

Connectez-vous à l'interface Web de l'appareil FortiMail.
Sélectionnez Journal et rapports > Paramètres du journal > Distant.
Cliquez sur Nouveau pour créer une entrée.
Dans la boîte de dialogue qui s'affiche, sélectionnez Enable (Activer) pour autoriser la journalisation sur un hôte distant.
Spécifiez les informations suivantes :
- Nom: saisissez un nom unique et significatif.
- Nom/Adresse IP du serveur: saisissez l'adresse IP de Bindplane.
- Port du serveur: saisissez le numéro de port UDP Bindplane.
- Niveau: sélectionnez Information comme niveau de gravité.
- Équipement: saisissez un identifiant d'équipement unique et vérifiez qu'aucun autre appareil réseau n'utilise le même identifiant.
- Désélectionnez le format CSV.
- Protocole de journalisation: sélectionnez Syslog.
- Configuration de la règle de journalisation: permet de transférer tous les types d'événements ou de journaux.
Cliquez sur Créer.

Tableau de mappage UDM

Champ du journal	Mappage UDM	Logique
authid	read_only_udm.target.user.email_addresses	Si le champ `authid` contient `@`, mappez-le sur ce champ
authid	read_only_udm.target.user.userid	Mappez le champ `authid` sur ce champ
algorithme de chiffrement	read_only_udm.network.tls.cipher	Mappez le champ `cipher` sur ce champ
client_ip	read_only_udm.principal.ip	Mappez le champ `client_ip` sur ce champ
client_name	read_only_udm.principal.hostname	Mappez le champ `client_name` sur ce champ
détail	read_only_udm.security_result.summary	Mappez le champ `detail` sur ce champ
device_id	read_only_udm.principal.resource.id	Mappez le champ `device_id` sur ce champ
devname	read_only_udm.principal.resource.name	Mappez le champ `devname` sur ce champ
direction	read_only_udm.network.direction	Si le champ `direction` est égal à `out`, mappez la valeur `OUTBOUND`. Si le champ `direction` est égal à `in`, mappez la valeur `INBOUND`. Sinon, mappez la valeur `UNKNOWN_DIRECTION`.
disposition	read_only_udm.security_result.detection_fields.value	Mappez le champ `disposition` sur ce champ lorsque le champ de clé est égal à `Disposition`.
domaine	read_only_udm.principal.administrative_domain	Mappez le champ `domain` sur ce champ
dst_ip	read_only_udm.target.ip	Mappez le champ `dst_ip` sur ce champ
de	read_only_udm.network.email.from	Si le champ `from` contient `@`, mappez-le sur ce champ
log_id	read_only_udm.metadata.product_log_id	Mappez le champ `log_id` sur ce champ
message_id	read_only_udm.network.email.mail_id	Mappez le champ `message_id` sur ce champ
message_length	read_only_udm.additional.fields.value.number_value	Mappez le champ `message_length` sur ce champ lorsque le champ de clé est égal à `message_length`.
Message	read_only_udm.security_result.description	Mappez le champ `msg` sur ce champ
poli	read_only_udm.security_result.detection_fields.value	Mappez le champ `polid` sur ce champ lorsque le champ de clé est égal à `Polid`.
relay	read_only_udm.intermediary.ip	Mappez le champ `relay` sur ce champ
résolu	read_only_udm.security_result.detection_fields.value	Mappez le champ `resolved` sur ce champ lorsque le champ de clé est égal à `Resolved`.
session_id	read_only_udm.network.session_id	Mappez le champ `session_id` sur ce champ
src_type	read_only_udm.additional.fields.value.string_value	Mappez le champ `src_type` sur ce champ lorsque le champ de clé est égal à `src_type`.
stat	read_only_udm.metadata.description	Mappez le champ `stat` sur ce champ
subject	read_only_udm.network.email.subject	Mappez le champ `subject` sur ce champ
à	read_only_udm.network.email.to	Si le champ `to` contient `@`, mappez-le sur ce champ
utilisateur	read_only_udm.principal.user.userid	Mappez le champ `user` sur ce champ
N/A	read_only_udm.extensions.auth.mechanism	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `USERNAME_PASSWORD` lorsque le champ `authid` existe.
N/A	read_only_udm.extensions.auth.type	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `AUTHTYPE_UNSPECIFIED` lorsque le champ `authid` existe.
N/A	read_only_udm.metadata.event_type	La valeur de ce champ est déterminée par la logique de l'analyseur en fonction d'une combinaison des champs disponibles. Si le champ `from` existe, la valeur est `EMAIL_TRANSACTION`, sinon si le champ `to` existe, la valeur est `EMAIL_UNCATEGORIZED`, sinon si les champs `client_ip` et `dst_ip` existent, la valeur est `NETWORK_CONNECTION`, sinon si le champ `authid` existe, la valeur est `USER_LOGIN`, sinon si le champ `user` existe, la valeur est `USER_UNCATEGORIZED`, sinon si le champ `client_ip` existe, la valeur est `STATUS_UPDATE`, sinon la valeur est `GENERIC_EVENT`
N/A	read_only_udm.metadata.log_type	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.product_name	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.vendor_name	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `FORTINET`.
N/A	read_only_udm.principal.resource.resource_type	La valeur de ce champ est codée en dur dans le code de l'analyseur sous la forme `DEVICE`.

Modifications

2023-09-06

Amélioration :

Ajout d'un modèle Grok pour extraire les données et analyser les journaux KV en cas d'échec.

2023-05-23

Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.