Raccogliere i log del firewall Hillstone

Supportato in:

Questo documento spiega come importare i log del firewall Hillstone in Google Security Operations utilizzando Bindplane.

Hillstone Firewall è un firewall di nuova generazione che offre funzionalità avanzate di rilevamento e prevenzione delle minacce, controllo delle applicazioni, prevenzione delle intrusioni e automazione dei criteri. Il firewall offre funzionalità di sicurezza complete, tra cui protezione dalle minacce in tempo reale, gestione unificata delle minacce e funzionamento intelligente dei criteri per proteggere l'infrastruttura di rete da minacce note e sconosciute.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e il firewall Hillstone
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso con privilegi alla console di gestione o all'appliance firewall Hillstone
  • Credenziali amministrative per l'interfaccia web di Hillstone Firewall

Recuperare il file di autenticazione dell'importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hillstone_firewall:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HILLSTONE_NGFW
    raw_log_field: body
    ingestion_labels:
      env: production
      source: hillstone_firewall

service:
  pipelines:
    logs/hillstone_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hillstone_firewall

Parametri di configurazione

Sostituisci i seguenti segnaposto:

  • Configurazione del ricevitore:

    • Il ricevitore è configurato per l'ascolto sulla porta UDP 514 su tutte le interfacce (0.0.0.0).

  • Configurazione dell'esportatore:

    • creds_file_path: percorso completo del file di autenticazione importazione:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente del passaggio precedente.
    • endpoint: URL endpoint regionale:
      • Stati Uniti: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Per un elenco completo, vedi Endpoint regionali.
    • log_type: imposta su HILLSTONE_NGFW esattamente come mostrato.
    • ingestion_labels: etichette facoltative in formato YAML (personalizza in base alle esigenze).

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di syslog del firewall Hillstone

Crea un server syslog

  1. Accedi all'interfaccia web del firewall Hillstone.
  2. Vai a Log > Configurazione > Server Syslog per visitare la pagina Elenco server Syslog.
  3. Fai clic su Nuovo per creare un nuovo server syslog.
  4. Nella finestra di dialogo Configurazione server Syslog, configura le seguenti impostazioni:
    • Nome host: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
    • Binding: seleziona Router virtuale e poi un router virtuale dall'elenco a discesa oppure seleziona Interfaccia di origine e poi un'interfaccia di origine dall'elenco a discesa.
    • Protocollo: seleziona UDP dall'elenco a discesa.
    • Porta: inserisci 514.
    • Tipo di log: seleziona i tipi di log che vuoi che il server syslog riceva. I tipi di log disponibili includono:
      • Evento: controlli di attività amministrative e di sistema, eventi di routing e networking.
      • Allarme: log di gravità urgente, avviso e critica.
      • Sicurezza: eventi di sicurezza come la difesa dagli attacchi e la sicurezza delle applicazioni.
      • IPS: eventi di protezione dalle intrusioni nella rete.
      • Configurazione: modifiche alla configurazione nell'interfaccia a riga di comando.
      • Rete: operazioni dei servizi di rete come PPPoE e DDNS.
      • Sessione: log di sessione, inclusi protocolli, indirizzi IP di origine e di destinazione e porte.
      • NAT: log NAT, inclusi tipo di NAT, indirizzi IP e porte di origine e di destinazione.
  5. Fai clic su Ok per salvare la configurazione del server syslog.

Abilita l'inoltro dei log per ogni tipo di log

  1. Vai a Log > Configurazione > Log per visitare la pagina Configurazione log.
  2. Fai clic sulla scheda del tipo di log che vuoi configurare (ad esempio Evento, Allarme, Sicurezza, IPS, Configurazione, Rete, Sessione o NAT).
  3. Per ogni tipo di log che vuoi inoltrare:
    1. Seleziona Attiva per attivare la funzione di log.
    2. Seleziona il server Syslog per esportare i log nel server Syslog.
    3. Nell'elenco a discesa Gravità minima, seleziona il livello di gravità più basso. I log al di sotto del livello di gravità selezionato qui non verranno esportati.
    4. Fai clic sul link Tutti i server syslog per verificare che il server syslog configurato sia elencato.
  4. Fai clic su Ok per salvare le impostazioni.
  5. Ripeti i passaggi da 2 a 4 per ogni tipo di log che vuoi inoltrare a Google SecOps.

Verificare l'inoltro dei log

  1. Sull'host dell'agente Bindplane, verifica che i messaggi syslog vengano ricevuti:

    • Linux:
    sudo journalctl -u observiq-otel-collector -f
    • Windows:
    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  2. Cerca le voci di log che indicano la ricezione e l'inoltro riusciti dei log del firewall Hillstone.

  3. Dopo 5-10 minuti, verifica che i log vengano visualizzati nella console Google SecOps.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
start_time_label, close_time_label, state_label, vr_label additional.fields Campi dei metadati aggiuntivi
decr metadata.description Descrizione dell'evento
metadata.event_type Tipo di evento
metadata.product_name Nome del prodotto
metadata.vendor_name Nome fornitore
protocol_number_src network.ip_protocol Protocollo IP utilizzato
receive_bytes network.received_bytes Numero di byte ricevuti
receive_packets network.received_packets Numero di pacchetti ricevuti
send_bytes network.sent_bytes Numero di byte inviati
send_packets network.sent_packets Numero di pacchetti inviati
session_id network.session_id Identificatore sessione
host principal.asset.hostname Nome host dell'asset principale
src_ip principal.asset.ip Indirizzo IP dell'asset principale
zone_val principal.cloud.availability_zone Zona di disponibilità cloud
host principal.hostname Nome host dell'entità
src_ip principal.ip Indirizzo IP del principale
mac_address principal.mac Indirizzo MAC del preside
src_port principal.port Numero di porta del principale
ethernet_src_label principal.resource.attribute.labels Etichette per gli attributi principali delle risorse
id principal.user.userid ID utente dell'entità
dst_ip target.asset.ip Indirizzo IP dell'asset di destinazione
dst_ip target.ip Indirizzo IP della destinazione
dst_port target.port Numero di porta della destinazione
ethernet_dst_label target.resource.attribute.labels Etichette per gli attributi delle risorse di destinazione
policy target.resource.name Nome della risorsa di destinazione
policy target.resource.type Tipo di risorsa di destinazione
utente target.user.userid ID utente della destinazione

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.