Coletar registros do firewall Hillstone

Compatível com:

Este documento explica como ingerir registros do firewall Hillstone no Google Security Operations usando o Bindplane.

O firewall da Hillstone é de última geração e oferece recursos avançados de detecção e prevenção de ameaças, controle de aplicativos, prevenção contra invasões e automação de políticas. O firewall oferece recursos de segurança abrangentes, incluindo proteção contra ameaças em tempo real, gerenciamento unificado de ameaças e operação inteligente de políticas para proteger a infraestrutura de rede contra ameaças conhecidas e desconhecidas.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o firewall da Hillstone.
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
  • Acesso privilegiado ao console ou appliance de gerenciamento do firewall Hillstone
  • Credenciais administrativas para a interface da Web do firewall da Hillstone.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hillstone_firewall:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HILLSTONE_NGFW
    raw_log_field: body
    ingestion_labels:
      env: production
      source: hillstone_firewall

service:
  pipelines:
    logs/hillstone_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hillstone_firewall

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • O receptor está configurado para detectar a porta UDP 514 em todas as interfaces (0.0.0.0).

  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: substitua YOUR_CUSTOMER_ID pelo ID do cliente da etapa anterior.
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte Endpoints regionais para ver uma lista completa.
    • log_type: defina como HILLSTONE_NGFW exatamente como mostrado.
    • ingestion_labels: rótulos opcionais no formato YAML (personalize conforme necessário).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

        sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do firewall Hillstone

Criar um servidor syslog

  1. Faça login na interface da Web do firewall Hillstone.
  2. Acesse Registro > Configuração > Servidor Syslog para acessar a página "Lista de servidores Syslog".
  3. Clique em Novo para criar um novo servidor syslog.
  4. Na caixa de diálogo Configuração do servidor Syslog, defina as seguintes configurações:
    • Nome do host: insira o endereço IP do host do agente do Bindplane (por exemplo, 192.168.1.100).
    • Vinculação: selecione Roteador virtual e escolha um roteador virtual na lista suspensa ou selecione Interface de origem e escolha uma interface de origem na lista suspensa.
    • Protocolo: selecione UDP na lista suspensa.
    • Porta: insira 514.
    • Tipo de registro: selecione os tipos de registro que você quer que o servidor syslog receba. Os tipos de registros disponíveis incluem:
      • Evento: auditorias de atividades administrativas e do sistema, eventos de rede e roteamento.
      • Alarme: registros de gravidade urgente, alerta e crítica.
      • Segurança: eventos de segurança, como defesa contra ataques e segurança de aplicativos.
      • IPS: eventos de proteção contra intrusão de rede.
      • Configuração: mudanças de configuração na interface de linha de comando.
      • Rede: operações de serviços de rede, como PPPoE e DDNS.
      • Sessão: registros de sessão, incluindo protocolos, endereços IP de origem e destino e portas.
      • NAT: registros do NAT, incluindo tipo, endereços IP de origem e destino e portas.
  5. Clique em OK para salvar a configuração do servidor syslog.

Ativar o encaminhamento de registros para cada tipo de registro

  1. Acesse Registro > Configuração > Registro para acessar a página Configuração de registro.
  2. Clique na guia do tipo de registro que você quer configurar (por exemplo, Evento, Alarme, Segurança, IPS, Configuração, Rede, Sessão ou NAT).
  3. Para cada tipo de registro que você quer encaminhar:
    1. Selecione Ativar para ativar a função de registro.
    2. Selecione o servidor Syslog para exportar registros para ele.
    3. Na lista suspensa Gravidade mais baixa, selecione o nível de gravidade mais baixo. Os registros abaixo do nível de gravidade selecionado aqui não serão exportados.
    4. Clique no link Todos os servidores syslog para verificar se o servidor syslog configurado está listado.
  4. Clique em OK para salvar as configurações.
  5. Repita as etapas de 2 a 4 para cada tipo de registro que você quer encaminhar ao Google SecOps.

Verificar o encaminhamento de registros

  1. No host do agente Bindplane, verifique se as mensagens syslog estão sendo recebidas:

    • Linux:
    sudo journalctl -u observiq-otel-collector -f
    • Windows:
    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  2. Procure entradas de registro que indiquem o recebimento e o encaminhamento bem-sucedidos dos registros do firewall da Hillstone.

  3. Após 5 a 10 minutos, verifique se os registros aparecem no console do Google SecOps.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
start_time_label, close_time_label, state_label, vr_label additional.fields Campos de metadados adicionais
desc metadata.description A descrição do evento
metadata.event_type Tipo de evento
metadata.product_name Nome do produto
metadata.vendor_name Nome do fornecedor
protocol_number_src network.ip_protocol Protocolo IP usado
receive_bytes network.received_bytes Número de bytes recebidos
receive_packets network.received_packets Número de pacotes recebidos
send_bytes network.sent_bytes Número de bytes enviados
send_packets network.sent_packets Número de pacotes enviados
session_id network.session_id Identificador de sessão
host principal.asset.hostname Nome do host do recurso principal
src_ip principal.asset.ip Endereço IP do recurso principal
zone_val principal.cloud.availability_zone Zona de disponibilidade na nuvem
host principal.hostname Nome do host do principal
src_ip principal.ip Endereço IP do principal
mac_address principal.mac Endereço MAC do principal
src_port principal.port Número da porta do principal
ethernet_src_label principal.resource.attribute.labels Rótulos para atributos principais de recursos
ID principal.user.userid ID do usuário do principal
dst_ip target.asset.ip Endereço IP do recurso de destino
dst_ip target.ip Endereço IP do destino
dst_port target.port Número da porta do destino
ethernet_dst_label target.resource.attribute.labels Rótulos para atributos de recursos de destino
política target.resource.name Nome do recurso de destino
política target.resource.type Tipo do recurso de destino
usuário target.user.userid ID do usuário do destino

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.