Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Fortinet FortiMail

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do Fortinet FortiMail usando o Bindplane. O analisador extrai pares de chave-valor, normaliza vários campos, como carimbos de data/hora e endereços IP, e os mapeia em um modelo de dados unificado (UDM) para as operações de segurança do Google, categorizando o tipo de evento com base nas informações disponíveis.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Fortinet Fortimail.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: fortinet_fortimail
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o syslog do Fortinet FortiMail

Faça login na interface da Web do dispositivo FortiMail.
Selecione Registro e relatório > Configurações de registro > Remoto.
Clique em Nova para criar uma entrada.
Na caixa de diálogo que aparece, selecione Ativar para permitir o registro em um host remoto.
Forneça os seguintes detalhes:
- Nome: insira um nome exclusivo e significativo.
- Nome do servidor/IP: insira o endereço IP do Bindplane.
- Porta do servidor: digite o número da porta UDP do Bindplane.
- Nível: selecione Informação como nível de gravidade.
- Instalação: insira um identificador de instalação exclusivo e verifique se nenhum outro dispositivo de rede usa o mesmo identificador.
- Desmarque o formato CSV.
- Protocolo de registro: selecione Syslog.
- Configuração da política de geração de registros: ative todos os tipos de eventos ou registros para encaminhamento.
Clique em Criar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento de UDM	Lógica
authid	read_only_udm.target.user.email_addresses	Se o campo `authid` contiver `@`, mapeie para este campo
authid	read_only_udm.target.user.userid	Mapear o campo `authid` para este campo
cifra	read_only_udm.network.tls.cipher	Mapear o campo `cipher` para este campo
client_ip	read_only_udm.principal.ip	Mapear o campo `client_ip` para este campo
client_name	read_only_udm.principal.hostname	Mapear o campo `client_name` para este campo
detail	read_only_udm.security_result.summary	Mapear o campo `detail` para este campo
device_id	read_only_udm.principal.resource.id	Mapear o campo `device_id` para este campo
devname	read_only_udm.principal.resource.name	Mapear o campo `devname` para este campo
direção	read_only_udm.network.direction	Se o campo `direction` for igual a `out`, mapeie o valor `OUTBOUND`. Se o campo `direction` for igual a `in`, mapeie o valor `INBOUND`. Caso contrário, mapeie o valor `UNKNOWN_DIRECTION`.
disposition	read_only_udm.security_result.detection_fields.value	Mapeie o campo `disposition` para este campo quando o campo de chave for igual a `Disposition`
domínio	read_only_udm.principal.administrative_domain	Mapear o campo `domain` para este campo
dst_ip	read_only_udm.target.ip	Mapear o campo `dst_ip` para este campo
de	read_only_udm.network.email.from	Se o campo `from` contiver `@`, mapeie para este campo
log_id	read_only_udm.metadata.product_log_id	Mapear o campo `log_id` para este campo
message_id	read_only_udm.network.email.mail_id	Mapear o campo `message_id` para este campo
message_length	read_only_udm.additional.fields.value.number_value	Mapear o campo `message_length` para este campo quando o campo de chave for igual a `message_length`
msg	read_only_udm.security_result.description	Mapear o campo `msg` para este campo
polid	read_only_udm.security_result.detection_fields.value	Mapeie o campo `polid` para este campo quando o campo de chave for igual a `Polid`
redirecionamento	read_only_udm.intermediary.ip	Mapear o campo `relay` para este campo
resolvido	read_only_udm.security_result.detection_fields.value	Mapeie o campo `resolved` para este campo quando o campo de chave for igual a `Resolved`
session_id	read_only_udm.network.session_id	Mapear o campo `session_id` para este campo
src_type	read_only_udm.additional.fields.value.string_value	Mapeie o campo `src_type` para este campo quando o campo de chave for igual a `src_type`
stat	read_only_udm.metadata.description	Mapear o campo `stat` para este campo
subject	read_only_udm.network.email.subject	Mapear o campo `subject` para este campo
a	read_only_udm.network.email.to	Se o campo `to` contiver `@`, mapeie para este campo
usuário	read_only_udm.principal.user.userid	Mapear o campo `user` para este campo
N/A	read_only_udm.extensions.auth.mechanism	O valor desse campo é codificado no código do analisador como `USERNAME_PASSWORD` quando o campo `authid` existe.
N/A	read_only_udm.extensions.auth.type	O valor desse campo é codificado no código do analisador como `AUTHTYPE_UNSPECIFIED` quando o campo `authid` existe.
N/A	read_only_udm.metadata.event_type	O valor desse campo é determinado pela lógica do analisador com base em uma combinação de campos disponíveis. Se o campo `from` existir, o valor será `EMAIL_TRANSACTION`. Se o campo `to` existir, o valor será `EMAIL_UNCATEGORIZED`. Se os campos `client_ip` e `dst_ip` existirem, o valor será `NETWORK_CONNECTION`. Se o campo `authid` existir, o valor será `USER_LOGIN`. Se o campo `user` existir, o valor será `USER_UNCATEGORIZED`. Se o campo `client_ip` existir, o valor será `STATUS_UPDATE`. Caso contrário, o valor será `GENERIC_EVENT`.
N/A	read_only_udm.metadata.log_type	O valor desse campo é fixado no código do analisador como `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.product_name	O valor desse campo é fixado no código do analisador como `FORTINET_FORTIMAIL`.
N/A	read_only_udm.metadata.vendor_name	O valor desse campo é fixado no código do analisador como `FORTINET`.
N/A	read_only_udm.principal.resource.resource_type	O valor desse campo é fixado no código do analisador como `DEVICE`.

Alterações

2023-09-06

Melhoria:

Adicionamos um padrão Grok para extrair os dados e analisar os registros de KV com falha.

2023-05-23

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.