此页面由 Cloud Translation API 翻译。

收集 Fortinet FortiMail 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 收集 Fortinet FortiMail 日志。解析器会提取键值对，对时间戳和 IP 地址等各种字段进行标准化处理，并将其映射到 Google 安全运营的统一数据模型 (UDM)，以便根据可用信息对事件类型进行分类。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 Fortinet Fortimail 的特权访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，该目录位于安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: fortinet_fortimail
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

根据基础架构中的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
在获取 Google SecOps 提取身份验证文件部分，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Fortinet FortiMail syslog

登录 FortiMail 设备网页界面。
依次选择日志和报告 > 日志设置 > 远程。
点击新建以创建新条目。
在随即显示的对话框中，选择启用以允许将日志记录到远程主机。
提供以下详细信息：
- 名称：输入一个具有唯一性的有意义的名称。
- 服务器名称/IP：输入 Bindplane IP 地址。
- 服务器端口：输入 Bindplane UDP 端口号。
- 级别：选择信息作为严重程度。
- 设施：输入唯一的设施标识符，并验证没有其他网络设备使用相同的设施标识符。
- 取消选择 CSV 格式。
- 日志协议：选择 Syslog。
- 日志记录政策配置：启用所有类型的事件或日志转发。
点击创建。

UDM 映射表

日志字段	UDM 映射	逻辑
authid	read_only_udm.target.user.email_addresses	如果 `authid` 字段包含 `@`，则映射到此字段
authid	read_only_udm.target.user.userid	将 `authid` 字段映射到此字段
加密	read_only_udm.network.tls.cipher	将 `cipher` 字段映射到此字段
client_ip	read_only_udm.principal.ip	将 `client_ip` 字段映射到此字段
client_name	read_only_udm.principal.hostname	将 `client_name` 字段映射到此字段
detail	read_only_udm.security_result.summary	将 `detail` 字段映射到此字段
device_id	read_only_udm.principal.resource.id	将 `device_id` 字段映射到此字段
devname	read_only_udm.principal.resource.name	将 `devname` 字段映射到此字段
方向	read_only_udm.network.direction	如果 `direction` 字段等于 `out`，则映射值 `OUTBOUND`；如果 `direction` 字段等于 `in`，则映射值 `INBOUND`；否则映射值 `UNKNOWN_DIRECTION`
disposition	read_only_udm.security_result.detection_fields.value	当键字段等于 `Disposition` 时，将 `disposition` 字段映射到此字段
网域	read_only_udm.principal.administrative_domain	将 `domain` 字段映射到此字段
dst_ip	read_only_udm.target.ip	将 `dst_ip` 字段映射到此字段
来自	read_only_udm.network.email.from	如果 `from` 字段包含 `@`，则映射到此字段
log_id	read_only_udm.metadata.product_log_id	将 `log_id` 字段映射到此字段
message_id	read_only_udm.network.email.mail_id	将 `message_id` 字段映射到此字段
message_length	read_only_udm.additional.fields.value.number_value	当键字段等于 `message_length` 时，将 `message_length` 字段映射到此字段
msg	read_only_udm.security_result.description	将 `msg` 字段映射到此字段
polid	read_only_udm.security_result.detection_fields.value	当键字段等于 `Polid` 时，将 `polid` 字段映射到此字段
中继	read_only_udm.intermediary.ip	将 `relay` 字段映射到此字段
已解决	read_only_udm.security_result.detection_fields.value	当键字段等于 `Resolved` 时，将 `resolved` 字段映射到此字段
session_id	read_only_udm.network.session_id	将 `session_id` 字段映射到此字段
src_type	read_only_udm.additional.fields.value.string_value	当键字段等于 `src_type` 时，将 `src_type` 字段映射到此字段
stat	read_only_udm.metadata.description	将 `stat` 字段映射到此字段
subject	read_only_udm.network.email.subject	将 `subject` 字段映射到此字段
至	read_only_udm.network.email.to	如果 `to` 字段包含 `@`，则映射到此字段
用户	read_only_udm.principal.user.userid	将 `user` 字段映射到此字段
不适用	read_only_udm.extensions.auth.mechanism	如果存在 `authid` 字段，此字段的值会在解析器代码中硬编码为 `USERNAME_PASSWORD`
不适用	read_only_udm.extensions.auth.type	如果存在 `authid` 字段，此字段的值会在解析器代码中硬编码为 `AUTHTYPE_UNSPECIFIED`
不适用	read_only_udm.metadata.event_type	此字段的值由解析器逻辑根据可用字段的组合确定。如果存在 `from` 字段，则值为 `EMAIL_TRANSACTION`；如果存在 `to` 字段，则值为 `EMAIL_UNCATEGORIZED`；如果同时存在 `client_ip` 和 `dst_ip` 字段，则值为 `NETWORK_CONNECTION`；如果存在 `authid` 字段，则值为 `USER_LOGIN`；如果存在 `user` 字段，则值为 `USER_UNCATEGORIZED`；如果存在 `client_ip` 字段，则值为 `STATUS_UPDATE`；否则，值为 `GENERIC_EVENT`
不适用	read_only_udm.metadata.log_type	此字段的值在解析器代码中硬编码为 `FORTINET_FORTIMAIL`
不适用	read_only_udm.metadata.product_name	此字段的值在解析器代码中硬编码为 `FORTINET_FORTIMAIL`
不适用	read_only_udm.metadata.vendor_name	此字段的值在解析器代码中硬编码为 `FORTINET`
不适用	read_only_udm.principal.resource.resource_type	此字段的值在解析器代码中硬编码为 `DEVICE`

变化

2023-09-06

增强功能：

添加了 Grok 模式，用于提取数据和解析失败的 KV 日志。

2023-05-23

新创建的解析器。