Hillstone Firewall-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Hillstone Firewall-Logs mit Bindplane in Google Security Operations aufnehmen.

Die Hillstone Firewall ist eine Firewall der nächsten Generation, die erweiterte Funktionen zur Bedrohungserkennung und -abwehr, Anwendungskontrolle, Einbruchsprävention und Richtlinienautomatisierung bietet. Die Firewall bietet umfassende Sicherheitsfunktionen, darunter Echtzeit-Bedrohungsschutz, Unified Threat Management und intelligente Richtlinienoperationen, um die Netzwerkinfrastruktur vor bekannten und unbekannten Bedrohungen zu schützen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und der Hillstone-Firewall
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Berechtigter Zugriff auf die Verwaltungskonsole oder das Gerät der Hillstone Firewall
  • Administrative Anmeldedaten für die Hillstone Firewall-Weboberfläche

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hillstone_firewall:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HILLSTONE_NGFW
    raw_log_field: body
    ingestion_labels:
      env: production
      source: hillstone_firewall

service:
  pipelines:
    logs/hillstone_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hillstone_firewall

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

  • Empfängerkonfiguration:

    • Der Empfänger ist so konfiguriert, dass er auf allen Schnittstellen (0.0.0.0) auf UDP-Port 514 wartet.

  • Exporter-Konfiguration:

    • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch die Kunden-ID aus dem vorherigen Schritt.
    • endpoint: Regionale Endpunkt-URL:
      • USA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
    • log_type: Setzen Sie den Wert genau wie dargestellt auf HILLSTONE_NGFW.
    • ingestion_labels: Optionale Labels im YAML-Format (nach Bedarf anpassen).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Hillstone Firewall konfigurieren

Syslog-Server erstellen

  1. Melden Sie sich in der Weboberfläche der Hillstone-Firewall an.
  2. Gehen Sie zu Log > Configuration > Syslog Server, um die Seite „Syslog Server List“ (Syslog-Serverliste) aufzurufen.
  3. Klicken Sie auf Neu, um einen neuen Syslog-Server zu erstellen.
  4. Konfigurieren Sie im Dialogfeld Syslog Server Configuration (Syslog-Serverkonfiguration) die folgenden Einstellungen:
    • Hostname: Geben Sie die IP-Adresse des BindPlane-Agent-Hosts ein, z. B. 192.168.1.100.
    • Bindung: Wählen Sie Virtueller Router und dann einen virtuellen Router aus der Drop-down-Liste aus oder wählen Sie Quellschnittstelle und dann eine Quellschnittstelle aus der Drop-down-Liste aus.
    • Protokoll: Wählen Sie aus der Drop-down-Liste UDP aus.
    • Port: Geben Sie 514 ein.
    • Log Type (Logtyp): Wählen Sie die Logtypen aus, die der Syslog-Server empfangen soll. Folgende Logtypen sind verfügbar:
      • Ereignis: System- und Verwaltungsaktivitätsprüfungen, Routing- und Netzwerkereignisse.
      • Alarm: Logs mit den Schweregraden „Dringend“, „Warnung“ und „Kritisch“.
      • Sicherheit: Sicherheitsereignisse wie die Abwehr von Angriffen und die Anwendungssicherheit.
      • IPS: Ereignisse zum Schutz vor Netzwerkeinbrüchen.
      • Konfiguration: Konfigurationsänderungen über die Befehlszeilenschnittstelle.
      • Netzwerk: Netzwerkdienstvorgänge wie PPPoE und DDNS.
      • Sitzung: Sitzungslogs mit Protokollen, Quell- und Ziel-IP-Adressen und Ports.
      • NAT: NAT-Logs, einschließlich NAT-Typ, Quell- und Ziel-IP-Adressen und ‑Ports.
  5. Klicken Sie auf OK, um die Syslog-Serverkonfiguration zu speichern.

Logweiterleitung für jeden Logtyp aktivieren

  1. Rufen Sie die Seite Log Configuration (Protokollkonfiguration) auf, indem Sie zu Log > Configuration > Log (Protokoll > Konfiguration > Protokoll) wechseln.
  2. Klicken Sie auf den Tab des Logtyps, den Sie konfigurieren möchten (z. B. Event, Alarm, Security, IPS, Configuration, Network, Session oder NAT).
  3. Gehen Sie für jeden Logtyp, den Sie weiterleiten möchten, so vor:
    1. Wählen Sie Aktivieren aus, um die Protokollierungsfunktion zu aktivieren.
    2. Wählen Sie Syslog-Server aus, um Logs auf den Syslog-Server zu exportieren.
    3. Wählen Sie in der Drop-down-Liste Niedrigster Schweregrad den niedrigsten Schweregrad aus. Protokolle unterhalb des hier ausgewählten Schweregrads werden nicht exportiert.
    4. Klicken Sie auf den Link Alle Syslog-Server, um zu prüfen, ob der konfigurierte Syslog-Server aufgeführt ist.
  4. Klicken Sie auf OK, um die Einstellungen zu speichern.
  5. Wiederholen Sie die Schritte 2 bis 4 für jeden Logtyp, den Sie an Google SecOps weiterleiten möchten.

Logweiterleitung prüfen

  1. Prüfen Sie auf dem Bindplane-Agent-Host, ob Syslog-Nachrichten empfangen werden:

    • Linux:
    sudo journalctl -u observiq-otel-collector -f
    • Windows:
    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  2. Suchen Sie nach Logeinträgen, die auf einen erfolgreichen Empfang und eine erfolgreiche Weiterleitung von Hillstone Firewall-Logs hinweisen.

  3. Prüfen Sie nach 5 bis 10 Minuten, ob Logs in der Google SecOps Console angezeigt werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
start_time_label, close_time_label, state_label, vr_label additional.fields Zusätzliche Metadatenfelder
Ab metadata.description Eine Beschreibung des Ereignisses
metadata.event_type Ereignistyp
metadata.product_name Produktname
metadata.vendor_name Anbietername
protocol_number_src network.ip_protocol Verwendetes IP-Protokoll
receive_bytes network.received_bytes Anzahl der empfangenen Byte
receive_packets network.received_packets Anzahl der empfangenen Pakete
send_bytes network.sent_bytes Anzahl der gesendeten Byte
send_packets network.sent_packets Anzahl der gesendeten Pakete
session_id network.session_id Sitzungs-ID
Host principal.asset.hostname Hostname des Hauptassets
src_ip principal.asset.ip IP-Adresse des primären Assets
zone_val principal.cloud.availability_zone Cloud-Verfügbarkeitszone
Host principal.hostname Hostname des Prinzipals
src_ip principal.ip IP-Adresse des Auftraggebers
mac_address principal.mac MAC-Adresse des Hauptnutzers
src_port principal.port Portnummer des Prinzipal
ethernet_src_label principal.resource.attribute.labels Labels für Hauptressourcenattribute
id principal.user.userid Nutzer-ID des Prinzipal
dst_ip target.asset.ip IP-Adresse des Ziel-Assets
dst_ip target.ip IP-Adresse des Ziels
dst_port target.port Portnummer des Ziels
ethernet_dst_label target.resource.attribute.labels Labels für Zielressourcenattribute
Richtlinie target.resource.name Name der Zielressource
Richtlinie target.resource.type Typ der Zielressource
Nutzer target.user.userid Nutzer-ID des Ziels

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten