Mengumpulkan log Firewall Hillstone

Didukung di:

Dokumen ini menjelaskan cara menyerap log Hillstone Firewall ke Google Security Operations menggunakan Bindplane.

Hillstone Firewall adalah firewall generasi berikutnya yang menyediakan kemampuan deteksi dan pencegahan ancaman tingkat lanjut, kontrol aplikasi, pencegahan intrusi, dan otomatisasi kebijakan. Firewall menawarkan fitur keamanan komprehensif termasuk perlindungan ancaman real-time, pengelolaan ancaman terpadu, dan operasi kebijakan cerdas untuk melindungi infrastruktur jaringan dari ancaman yang diketahui dan tidak diketahui.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan Firewall Hillstone
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke konsol atau perangkat pengelolaan Firewall Hillstone
  • Kredensial administratif untuk antarmuka web Hillstone Firewall

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hillstone_firewall:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HILLSTONE_NGFW
    raw_log_field: body
    ingestion_labels:
      env: production
      source: hillstone_firewall

service:
  pipelines:
    logs/hillstone_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hillstone_firewall

Parameter konfigurasi

Ganti placeholder berikut:

  • Konfigurasi penerima:

    • Penerima dikonfigurasi untuk memproses port UDP 514 di semua antarmuka (0.0.0.0).

  • Konfigurasi eksportir:

    • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: Ganti YOUR_CUSTOMER_ID dengan ID Pelanggan dari langkah sebelumnya.
    • endpoint: URL endpoint regional:
      • Amerika Serikat: malachiteingestion-pa.googleapis.com
      • Eropa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
    • log_type: Tetapkan ke HILLSTONE_NGFW persis seperti yang ditunjukkan.
    • ingestion_labels: Label opsional dalam format YAML (sesuaikan sesuai kebutuhan).

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

        sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

        sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Hillstone Firewall

Membuat server syslog

  1. Login ke antarmuka web Hillstone Firewall.
  2. Buka Log > Konfigurasi > Server Syslog untuk membuka halaman Daftar Server Syslog.
  3. Klik Baru untuk membuat server syslog baru.
  4. Dalam dialog Syslog Server Configuration, konfigurasi setelan berikut:
    • Nama host: Masukkan alamat IP host agen Bindplane (misalnya, 192.168.1.100).
    • Binding: Pilih Virtual Router, lalu pilih virtual router dari menu drop-down, atau pilih Source Interface, lalu pilih antarmuka sumber dari menu drop-down.
    • Protokol: Pilih UDP dari daftar drop-down.
    • Port: Masukkan 514.
    • Jenis Log: Pilih jenis log yang ingin Anda terima di server syslog. Jenis log yang tersedia meliputi:
      • Peristiwa: Audit aktivitas sistem dan administratif, peristiwa perutean dan jaringan.
      • Alarm: Log tingkat keparahan mendesak, peringatan, dan penting.
      • Keamanan: Peristiwa keamanan seperti pertahanan dari serangan dan keamanan aplikasi.
      • IPS: Peristiwa perlindungan dari intrusi jaringan.
      • Konfigurasi: Perubahan konfigurasi pada antarmuka command line.
      • Jaringan: Operasi layanan jaringan seperti PPPoE dan DDNS.
      • Sesi: Log sesi termasuk protokol, alamat IP dan port sumber dan tujuan.
      • NAT: Log NAT termasuk jenis NAT, alamat IP dan port sumber dan tujuan.
  5. Klik OK untuk menyimpan konfigurasi server syslog.

Aktifkan penerusan log untuk setiap jenis log

  1. Buka Log > Konfigurasi > Log untuk membuka halaman Konfigurasi Log.
  2. Klik tab jenis log yang ingin Anda konfigurasi (misalnya, Peristiwa, Alarm, Keamanan, IPS, Konfigurasi, Jaringan, Sesi, atau NAT).
  3. Untuk setiap jenis log yang ingin Anda teruskan:
    1. Pilih Aktifkan untuk mengaktifkan fungsi log.
    2. Pilih Server syslog untuk mengekspor log ke server syslog.
    3. Di menu drop-down Lowest severity, pilih tingkat keparahan terendah. Log di bawah tingkat keparahan yang dipilih di sini tidak akan diekspor.
    4. Klik link Semua server syslog untuk memverifikasi bahwa server syslog yang Anda konfigurasi tercantum.
  4. Klik OK untuk menyimpan setelan.
  5. Ulangi langkah 2 hingga 4 untuk setiap jenis log yang ingin Anda teruskan ke Google SecOps.

Memverifikasi penerusan log

  1. Di host agen Bindplane, pastikan pesan syslog diterima:

    • Linux:
    sudo journalctl -u observiq-otel-collector -f
    • Windows:
    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  2. Cari entri log yang menunjukkan penerimaan dan penerusan log Hillstone Firewall yang berhasil.

  3. Setelah 5 hingga 10 menit, verifikasi bahwa log muncul di konsol Google SecOps.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
start_time_label, close_time_label, state_label, vr_label additional.fields Kolom metadata tambahan
menurun metadata.description Deskripsi peristiwa
metadata.event_type Jenis acara
metadata.product_name Nama produk
metadata.vendor_name Nama vendor
protocol_number_src network.ip_protocol Protokol IP yang digunakan
receive_bytes network.received_bytes Jumlah byte yang diterima
receive_packets network.received_packets Jumlah paket yang diterima
send_bytes network.sent_bytes Jumlah byte yang dikirim
send_packets network.sent_packets Jumlah paket yang dikirim
session_id network.session_id ID sesi
host principal.asset.hostname Nama host aset utama
src_ip principal.asset.ip Alamat IP aset utama
zone_val principal.cloud.availability_zone Zona ketersediaan cloud
host principal.hostname Nama host utama
src_ip principal.ip Alamat IP kepala sekolah
mac_address principal.mac Alamat MAC kepala sekolah
src_port principal.port Nomor port kepala sekolah
ethernet_src_label principal.resource.attribute.labels Label untuk atribut resource utama
id principal.user.userid ID pengguna prinsipal
dst_ip target.asset.ip Alamat IP aset target
dst_ip target.ip Alamat IP target
dst_port target.port Nomor port target
ethernet_dst_label target.resource.attribute.labels Label untuk atribut resource target
kebijakan target.resource.name Nama resource target
kebijakan target.resource.type Jenis resource target
pengguna target.user.userid ID pengguna target

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.