收集 Hillstone 防火墙日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Hillstone 防火墙日志注入到 Google Security Operations。
Hillstone 防火墙是一种新一代防火墙,可提供高级威胁检测和防御功能、应用控制、入侵防御和政策自动化。该防火墙提供全面的安全功能,包括实时威胁防护、统一威胁管理和智能政策操作,可保护网络基础设施免受已知和未知威胁的侵害。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Hillstone 防火墙之间的网络连接
- 如果在代理后面运行,请确保防火墙端口根据 Bindplane 代理要求处于开放状态
- 对 Hillstone 防火墙管理控制台或设备的特权访问权限
- Hillstone 防火墙网页界面的管理凭据
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hillstone_firewall: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: HILLSTONE_NGFW raw_log_field: body ingestion_labels: env: production source: hillstone_firewall service: pipelines: logs/hillstone_to_chronicle: receivers: - udplog exporters: - chronicle/hillstone_firewall
配置参数
替换以下占位符:
接收器配置:
- 接收器配置为在所有接口 (0.0.0.0) 上监听 UDP 端口 514。
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:将YOUR_CUSTOMER_ID替换为上一步中的客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点。
- 美国:
log_type:设置为HILLSTONE_NGFW,与所示完全一致。ingestion_labels:YAML 格式的可选标签(可根据需要自定义)。
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Hillstone 防火墙 syslog 转发
创建 syslog 服务器
- 登录 Hillstone 防火墙网页界面。
- 依次前往日志 > 配置 > Syslog 服务器,访问“Syslog 服务器列表”页面。
- 点击新建以创建新的 syslog 服务器。
- 在 Syslog 服务器配置对话框中,配置以下设置:
- 主机名:输入 Bindplane 代理主机(例如
192.168.1.100)的 IP 地址。 - 绑定:选择虚拟路由器,然后从下拉列表中选择一个虚拟路由器;或者选择源接口,然后从下拉列表中选择一个源接口。
- 协议:从下拉列表中选择 UDP。
- 端口:输入
514。 - 日志类型:选择您希望 syslog 服务器接收的日志类型。可用的日志类型包括:
- 事件:系统和管理活动审核、路由和网络事件。
- Alarm:紧急、提醒和严重程度为“严重”的日志。
- 安全性:安全性事件,例如攻击防御和应用安全性。
- IPS:网络入侵防护事件。
- 配置:命令行界面上的配置变更。
- 网络:PPPoE 和 DDNS 等网络服务操作。
- 会话:会话日志,包括协议、来源和目标 IP 地址及端口。
- NAT:NAT 日志,包括 NAT 类型、来源和目标 IP 地址及端口。
- 主机名:输入 Bindplane 代理主机(例如
- 点击 OK 以保存 syslog 服务器配置。
为每种日志类型启用日志转发
- 依次前往日志 > 配置 > 日志,访问日志配置页面。
- 点击要配置的日志类型的标签页(例如事件、闹钟、安全、IPS、配置、网络、会话或 NAT)。
- 对于您要转发的每种日志类型:
- 选择启用以启用日志功能。
- 选择 Syslog 服务器,将日志导出到 syslog 服务器。
- 在最低严重程度下拉列表中,选择最低严重程度。低于此处所选严重程度的日志不会导出。
- 点击所有 syslog 服务器链接,验证您配置的 syslog 服务器是否已列出。
- 点击确定以保存设置。
- 针对要转发到 Google SecOps 的每种日志类型重复执行步骤 2 到 4。
验证日志转发
在 Bindplane 代理主机上,验证是否正在接收 syslog 消息:
- Linux:
sudo journalctl -u observiq-otel-collector -f- Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"查找表明已成功接收并转发 Hillstone 防火墙日志的日志条目。
等待 5 到 10 分钟后,验证日志是否显示在 Google SecOps 控制台中。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| start_time_label、close_time_label、state_label、vr_label | additional.fields | 其他元数据字段 |
| 降序 | metadata.description | 事件的说明 |
| metadata.event_type | 事件类型 | |
| metadata.product_name | 产品名称 | |
| metadata.vendor_name | 供应商名称 | |
| protocol_number_src | network.ip_protocol | 使用的 IP 协议 |
| receive_bytes | network.received_bytes | 接收的字节数 |
| receive_packets | network.received_packets | 接收的数据包数量 |
| send_bytes | network.sent_bytes | 发送的字节数 |
| send_packets | network.sent_packets | 发送的数据包数量 |
| session_id | network.session_id | 会话标识符 |
| 主机 | principal.asset.hostname | 主要资产的主机名 |
| src_ip | principal.asset.ip | 主要资产的 IP 地址 |
| zone_val | principal.cloud.availability_zone | 云可用性区域 |
| 主机 | principal.hostname | 主账号的主机名 |
| src_ip | principal.ip | 主账号的 IP 地址 |
| mac_address | principal.mac | 主账号的 MAC 地址 |
| src_port | principal.port | 主账号的端口号 |
| ethernet_src_label | principal.resource.attribute.labels | 主账号资源属性的标签 |
| id | principal.user.userid | 主账号的用户 ID |
| dst_ip | target.asset.ip | 目标资产的 IP 地址 |
| dst_ip | target.ip | 目标的 IP 地址 |
| dst_port | target.port | 目标的端口号 |
| ethernet_dst_label | target.resource.attribute.labels | 目标资源属性的标签 |
| 政策 | target.resource.name | 目标资源的名称 |
| 政策 | target.resource.type | 目标资源的类型 |
| 用户 | target.user.userid | 目标的相应用户 ID |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。