Hillstone ファイアウォール ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Hillstone ファイアウォール ログを Google Security Operations に取り込む方法について説明します。

Hillstone Firewall は、高度な脅威の検出と防止機能、アプリケーション制御、侵入防止、ポリシーの自動化を提供する次世代ファイアウォールです。このファイアウォールは、リアルタイムの脅威保護、統合脅威管理、インテリジェントなポリシー運用などの包括的なセキュリティ機能を提供し、既知および未知の脅威からネットワーク インフラストラクチャを保護します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • Bindplane エージェントと Hillstone Firewall 間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • Hillstone Firewall 管理コンソールまたはアプライアンスへの特権アクセス
  • Hillstone Firewall ウェブ インターフェースの管理者認証情報

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

サービスは RUNNING と表示されます。

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

サービスが [アクティブ(実行中)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hillstone_firewall:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HILLSTONE_NGFW
    raw_log_field: body
    ingestion_labels:
      env: production
      source: hillstone_firewall

service:
  pipelines:
    logs/hillstone_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hillstone_firewall

構成パラメータ

各プレースホルダを次のように置き換えます。

  • レシーバーの構成:

    • 受信側は、すべてのインターフェース(0.0.0.0)の UDP ポート 514 でリッスンするように構成されています。

  • エクスポータの構成:

    • creds_file_path: 取り込み認証ファイルのフルパス:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: YOUR_CUSTOMER_ID は、前の手順の顧客 ID に置き換えます。
    • endpoint: リージョン エンドポイント URL:
      • 米国: malachiteingestion-pa.googleapis.com
      • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
      • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 完全なリストについては、リージョン エンドポイントをご覧ください。
    • log_type: 示されているとおりに HILLSTONE_NGFW に設定します。
    • ingestion_labels: YAML 形式の省略可能なラベル(必要に応じてカスタマイズ)。

構成ファイルを保存する

編集が完了したら、ファイルを保存します。

  • Linux: Ctrl+OEnterCtrl+X の順に押します。
  • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

        sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

        sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
      2. observIQ OpenTelemetry Collector を見つけます。

      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Hillstone Firewall の syslog 転送を構成する

syslog サーバーを作成する

  1. Hillstone Firewall のウェブ インターフェースにログインします。
  2. [Log> Configuration> Syslog Server] に移動して、[Syslog Server List] ページを開きます。
  3. [新規] をクリックして、新しい syslog サーバーを作成します。
  4. [Syslog Server Configuration] ダイアログで、次の設定を構成します。
    • ホスト名: Bindplane エージェント ホストの IP アドレスを入力します(例: 192.168.1.100)。
    • バインディング: [仮想ルーター] を選択し、プルダウン リストから仮想ルーターを選択します。または、[送信元インターフェース] を選択し、プルダウン リストから送信元インターフェースを選択します。
    • プロトコル: プルダウン リストから [UDP] を選択します。
    • ポート: 「514」と入力します。
    • ログタイプ: syslog サーバーで受信するログタイプを選択します。使用可能なログタイプは次のとおりです。
      • イベント: システムと管理アクティビティの監査、ルーティングとネットワーキングのイベント。
      • アラーム: 緊急、アラート、重大の重大度ログ。
      • セキュリティ: 攻撃防御やアプリケーション セキュリティなどのセキュリティ イベント。
      • IPS: ネットワーク侵入保護イベント。
      • 構成: コマンドライン インターフェースでの構成の変更。
      • ネットワーク: PPPoE や DDNS などのネットワーク サービス オペレーション。
      • セッション: プロトコル、送信元と宛先の IP アドレスとポートを含むセッションログ。
      • NAT: NAT タイプ、送信元と宛先の IP アドレスとポートなどの NAT ログ。
  5. [OK] をクリックして、Syslog サーバーの構成を保存します。

ログタイプごとにログ転送を有効にする

  1. [ログ> 設定 > ログ] に移動して、[ログの設定] ページにアクセスします。
  2. 構成するログタイプのタブ([イベント]、[アラーム]、[セキュリティ]、[IPS]、[構成]、[ネットワーク]、[セッション]、[NAT] など)をクリックします。
  3. 転送するログタイプごとに、次の操作を行います。
    1. [有効にする] を選択して、ログ機能を有効にします。
    2. [Syslog server] を選択して、ログを syslog サーバーにエクスポートします。
    3. [最も低い重大度] プルダウン リストで、最も低い重大度レベルを選択します。ここで選択した重大度レベルより下のログはエクスポートされません。
    4. [All syslog servers] リンクをクリックして、構成した Syslog サーバーが一覧表示されていることを確認します。
  4. [OK] をクリックして設定を保存します。
  5. Google SecOps に転送するログタイプごとに手順 2 ~ 4 を繰り返します。

ログ転送を確認する

  1. Bindplane エージェント ホストで、syslog メッセージが受信されていることを確認します。

    • Linux:
    sudo journalctl -u observiq-otel-collector -f
    • Windows:
    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  2. Hillstone Firewall ログの受信と転送が成功したことを示すログエントリを探します。

  3. 5 ~ 10 分後に、ログが Google SecOps コンソールに表示されることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
start_time_label、close_time_label、state_label、vr_label additional.fields 追加のメタデータ フィールド
降順 metadata.description イベントの説明
metadata.event_type イベントのタイプ
metadata.product_name 商品名
metadata.vendor_name ベンダー名
protocol_number_src network.ip_protocol 使用された IP プロトコル
receive_bytes network.received_bytes 受信したバイト数
receive_packets network.received_packets 受信したパケット数
send_bytes network.sent_bytes 送信されたバイト数
send_packets network.sent_packets 送信されたパケット数
session_id network.session_id セッション ID
ホスト principal.asset.hostname プリンシパル アセットのホスト名
src_ip principal.asset.ip プリンシパル アセットの IP アドレス
zone_val principal.cloud.availability_zone クラウド アベイラビリティ ゾーン
ホスト principal.hostname プリンシパルのホスト名
src_ip principal.ip プリンシパルの IP アドレス
mac_address principal.mac プリンシパルの MAC アドレス
src_port principal.port プリンシパルのポート番号
ethernet_src_label principal.resource.attribute.labels プリンシパル リソース属性のラベル
id principal.user.userid プリンシパルのユーザー ID
dst_ip target.asset.ip ターゲット アセットの IP アドレス
dst_ip target.ip ターゲットの IP アドレス
dst_port target.port ターゲットのポート番号
ethernet_dst_label target.resource.attribute.labels ターゲット リソース属性のラベル
ポリシー target.resource.name ターゲット リソースの名前
ポリシー target.resource.type ターゲット リソースのタイプ
ユーザー target.user.userid ターゲットのユーザー ID

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。