Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Fortinet FortiMail

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Fortinet FortiMail menggunakan Bindplane. Parser mengekstrak pasangan nilai kunci, menormalisasi berbagai kolom seperti stempel waktu dan alamat IP, serta memetakan kolom tersebut ke dalam model data terpadu (UDM) untuk Google Security Operations, yang mengategorikan jenis peristiwa berdasarkan informasi yang tersedia.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke Fortinet Fortimail.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: fortinet_fortimail
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi syslog Fortinet FortiMail

Login ke antarmuka web perangkat FortiMail.
Pilih Log & Laporan > Setelan Log > Jarak Jauh.
Klik Baru untuk membuat entri baru.
Pada dialog yang muncul, pilih Enable untuk mengizinkan logging ke host jarak jauh.
Berikan detail berikut:
- Nama: masukkan nama yang unik dan bermakna.
- Server name/IP: masukkan alamat IP Bindplane.
- Port server: masukkan nomor port UDP Bindplane.
- Level: pilih Informasi sebagai tingkat keparahan.
- Fasilitas: masukkan ID fasilitas unik dan pastikan tidak ada perangkat jaringan lain yang menggunakan ID fasilitas yang sama.
- Batalkan pilihan format CSV.
- Protokol log: pilih Syslog.
- Konfigurasi kebijakan logging: memungkinkan semua jenis peristiwa atau log diteruskan.
Klik Buat.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
authid	read_only_udm.target.user.email_addresses	Jika kolom `authid` berisi `@`, petakan ke kolom ini
authid	read_only_udm.target.user.userid	Petakan kolom `authid` ke kolom ini
cipher	read_only_udm.network.tls.cipher	Petakan kolom `cipher` ke kolom ini
client_ip	read_only_udm.principal.ip	Petakan kolom `client_ip` ke kolom ini
client_name	read_only_udm.principal.hostname	Petakan kolom `client_name` ke kolom ini
detail	read_only_udm.security_result.summary	Petakan kolom `detail` ke kolom ini
device_id	read_only_udm.principal.resource.id	Petakan kolom `device_id` ke kolom ini
devname	read_only_udm.principal.resource.name	Petakan kolom `devname` ke kolom ini
direction	read_only_udm.network.direction	Jika kolom `direction` sama dengan `out`, petakan nilai `OUTBOUND`, jika kolom `direction` sama dengan `in`, petakan nilai `INBOUND`, jika tidak, petakan nilai `UNKNOWN_DIRECTION`
disposisi	read_only_udm.security_result.detection_fields.value	Petakan kolom `disposition` ke kolom ini, jika kolom kunci sama dengan `Disposition`
domain	read_only_udm.principal.administrative_domain	Petakan kolom `domain` ke kolom ini
dst_ip	read_only_udm.target.ip	Petakan kolom `dst_ip` ke kolom ini
dari	read_only_udm.network.email.from	Jika kolom `from` berisi `@`, petakan ke kolom ini
log_id	read_only_udm.metadata.product_log_id	Petakan kolom `log_id` ke kolom ini
message_id	read_only_udm.network.email.mail_id	Petakan kolom `message_id` ke kolom ini
message_length	read_only_udm.additional.fields.value.number_value	Petakan kolom `message_length` ke kolom ini, jika kolom kunci sama dengan `message_length`
msg	read_only_udm.security_result.description	Petakan kolom `msg` ke kolom ini
polid	read_only_udm.security_result.detection_fields.value	Petakan kolom `polid` ke kolom ini, jika kolom kunci sama dengan `Polid`
relai	read_only_udm.intermediary.ip	Petakan kolom `relay` ke kolom ini
terselesaikan	read_only_udm.security_result.detection_fields.value	Petakan kolom `resolved` ke kolom ini, jika kolom kunci sama dengan `Resolved`
session_id	read_only_udm.network.session_id	Petakan kolom `session_id` ke kolom ini
src_type	read_only_udm.additional.fields.value.string_value	Petakan kolom `src_type` ke kolom ini, jika kolom kunci sama dengan `src_type`
stat	read_only_udm.metadata.description	Petakan kolom `stat` ke kolom ini
subject	read_only_udm.network.email.subject	Petakan kolom `subject` ke kolom ini
sampai	read_only_udm.network.email.to	Jika kolom `to` berisi `@`, petakan ke kolom ini
pengguna	read_only_udm.principal.user.userid	Petakan kolom `user` ke kolom ini
T/A	read_only_udm.extensions.auth.mechanism	Nilai kolom ini di-hardcode dalam kode parser sebagai `USERNAME_PASSWORD` jika kolom `authid` ada
T/A	read_only_udm.extensions.auth.type	Nilai kolom ini di-hardcode dalam kode parser sebagai `AUTHTYPE_UNSPECIFIED` jika kolom `authid` ada
T/A	read_only_udm.metadata.event_type	Nilai kolom ini ditentukan oleh logika parser berdasarkan kombinasi kolom yang tersedia. Jika kolom `from` ada, nilainya adalah `EMAIL_TRANSACTION`, jika kolom `to` ada, nilainya adalah `EMAIL_UNCATEGORIZED`, jika kolom `client_ip` dan `dst_ip` ada, nilainya adalah `NETWORK_CONNECTION`, jika kolom `authid` ada, nilainya adalah `USER_LOGIN`, jika kolom `user` ada, nilainya adalah `USER_UNCATEGORIZED`, jika kolom `client_ip` ada, nilainya adalah `STATUS_UPDATE`, jika tidak, nilainya adalah `GENERIC_EVENT`
T/A	read_only_udm.metadata.log_type	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET_FORTIMAIL`
T/A	read_only_udm.metadata.product_name	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET_FORTIMAIL`
T/A	read_only_udm.metadata.vendor_name	Nilai kolom ini di-hardcode dalam kode parser sebagai `FORTINET`
T/A	read_only_udm.principal.resource.resource_type	Nilai kolom ini di-hardcode dalam kode parser sebagai `DEVICE`

Perubahan

2023-09-06

Peningkatan:

Menambahkan pola Grok untuk mengekstrak data dan mengurai log KV yang gagal.

2023-05-23

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.