收集 Juniper Junos 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Juniper Junos 記錄檔擷取至 Google Security Operations。

Juniper Junos OS 是 Juniper Networks 路由器、交換器和安全裝置的作業系統。這個統一平台可管理網路基礎架構、路由、交換和安全防護功能，並全面記錄系統事件、安全事件和網路流量。剖析器會從 Juniper Junos 系統記錄和鍵/值格式記錄中擷取欄位。剖析器會使用 grok 和/或 kv 剖析記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
在執行 Junos OS 的 Juniper 裝置上取得特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'JUNIPER_JUNOS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

替換下列預留位置：
- 接收器設定：
  - udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
  - 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
  - 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：記錄類型，與 Chronicle 中顯示的完全相同 (JUNIPER_JUNOS)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

  sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

  sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Juniper Junos 上設定 Syslog 轉送功能

透過 SSH 或控制台連線至 Juniper 裝置。
進入設定模式：
```
configure
```

使用下列指令設定系統記錄主機：

set system syslog host BINDPLANE_IP any info
set system syslog host BINDPLANE_IP port 514
set system syslog host BINDPLANE_IP facility-override local7
set system syslog host BINDPLANE_IP log-prefix JUNOS

將 BINDPLANE_IP 替換為 Bindplane 代理程式主機的 IP 位址。

設定其他記錄來源 (選用，但建議採用)：

set system syslog host BINDPLANE_IP authorization info
set system syslog host BINDPLANE_IP daemon info
set system syslog host BINDPLANE_IP kernel info
set system syslog host BINDPLANE_IP firewall any
set system syslog host BINDPLANE_IP interactive-commands info

設定結構化系統記錄資料 (選用，可提升剖析效果)：
```
set system syslog host BINDPLANE_IP structured-data
```
提交設定：
```
commit and-quit
```
驗證系統記錄設定：
```
show system syslog host BINDPLANE_IP
```
檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
DPT	target.port	網路連線的目的地通訊埠，已轉換為整數。
數位服務稅	target.ip	網路連線的目的地 IP 位址。
FLAG	additional.fields{}.key: "FLAG", additional.fields{}.value.string_value: FLAG 的值	與網路連線相關聯的 TCP 旗標。
ID	additional.fields{}.key: "ID", additional.fields{}.value.string_value: ID 的值	IP 識別欄位。
IN	additional.fields{}.key: "IN", additional.fields{}.value.string_value: Value of IN	連入網路介面。
LEN	additional.fields{}.key: "LEN", additional.fields{}.value.string_value: LEN 的值	IP 封包的長度。
MAC	principal.mac	從 MAC 欄位擷取的 MAC 位址。
OUT	additional.fields{}.key: "OUT", additional.fields{}.value.string_value: Value of OUT	外送網路介面。
PREC	additional.fields{}.key: "PREC", additional.fields{}.value.string_value: Value of PREC	IP 標頭中的優先順序欄位。
PROTO	network.ip_protocol	網路連線中使用的 IP 通訊協定。
RES	additional.fields{}.key: "RES", additional.fields{}.value.string_value: Value of RES	TCP 標頭中的保留欄位。
SPT	principal.port	網路連線的來源通訊埠，已轉換為整數。
SRC	principal.ip	網路連線的來源 IP 位址。
TOS	additional.fields{}.key: "TOS", additional.fields{}.value.string_value: 服務條款的值	IP 標頭中的服務類型欄位。
存留時間	network.dns.additional.ttl	存留時間值，已轉換為無正負號整數。
URGP	additional.fields{}.key: "URGP", additional.fields{}.value.string_value: URGP 的值	TCP 標頭中的緊急指標欄位。
WINDOW	additional.fields{}.key: "WINDOW_SIZE", additional.fields{}.value.string_value: Value of WINDOW	TCP 視窗大小。
動作	security_result.action	防火牆採取的動作，從 CEF 訊息中擷取。
agt	observer.ip	代理程式的 IP 位址。
amac	target.mac	目標的 MAC 位址，轉換為小寫，並將連字號替換為半形冒號。
應用程式	target.application	與事件相關的應用程式。
artz	observer.zone	觀察者的時區。
atz	target.location.country_or_region	目標時區。
categoryBehavior	additional.fields{}.key:「Category Behavior」(類別行為)，additional.fields{}.value.string_value：移除斜線的 categoryBehavior 值	類別行為。
categoryDeviceGroup	additional.fields{}.key:「Category Device Group」，additional.fields{}.value.string_value：移除斜線的 categoryDeviceGroup 值	類別裝置群組。
categoryObject	additional.fields{}.key:「Category Object」(類別物件)，additional.fields{}.value.string_value: 移除斜線的 categoryObject 值	類別物件。
categoryOutcome	additional.fields{}.key:「Category Outcome」(類別結果)，additional.fields{}.value.string_value：移除斜線的 categoryOutcome 值	類別結果。
categorySignificance	additional.fields{}.key: "category Significance", additional.fields{}.value.string_value: Value of categorySignificance	類別重要性。
指令	target.process.command_line	執行的指令。
cs1Label	additional.fields{}.key：cs1Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 1 標籤和值。
cs2Label	additional.fields{}.key：cs2Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 2 標籤和值。
cs3Label	additional.fields{}.key：cs3Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 3 標籤和值。
cs4Label	additional.fields{}.key：cs4Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 4 標籤和值。
cs5Label	additional.fields{}.key：cs5Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 5 標籤和值。
cs6Label	additional.fields{}.key：cs6Label，additional.fields{}.value.string_value：對應 CEF 欄位的值	CEF 訊息中的自訂字串欄位 6 標籤和值。
dhost	target.hostname	目的地主機名稱。
deviceCustomString1	additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Value of deviceCustomString1	裝置自訂字串 1。
deviceCustomString2	additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Value of deviceCustomString2	裝置自訂字串 2。
deviceCustomString3	additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Value of deviceCustomString3	裝置自訂字串 3。
deviceCustomString4	additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Value of deviceCustomString4	裝置自訂字串 4。
deviceCustomString5	additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Value of deviceCustomString5	裝置自訂字串 5。
deviceCustomString6	additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Value of deviceCustomString6	裝置自訂字串 6。
deviceDirection	network.direction	網路流量的方向。
deviceEventClassId	additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of deviceEventClassId	裝置事件類別 ID。
deviceFacility	observer.product.subproduct	裝置設施。
deviceProcessName	about.process.command_line	裝置程序名稱。
deviceSeverity	security_result.severity	裝置嚴重程度。
deviceTimeZone	observer.zone	裝置時區。
deviceVendor	metadata.vendor_name	裝置供應商。
deviceVersion	metadata.product_version	裝置版本。
dpt	target.port	目的地通訊埠。
dst	target.ip	目的地 IP 位址。
duser	target.user.user_display_name	目的地使用者。
eventId	additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of eventId	活動 ID。
event_time	metadata.event_timestamp	從訊息剖析的事件發生時間。
firewall_action	security_result.action_details	防火牆採取的動作。
主機	principal.hostname、intermediary.hostname	產生記錄的裝置主機名稱。在不同情況下，可同時用於本金和中介。
msg	security_result.summary	與事件相關的訊息，做為安全結果的摘要。
名稱	metadata.product_event_type	活動名稱。
process_name	additional.fields{}.key: "process_name", additional.fields{}.value.string_value: Value of process_name	程序的名稱。
p_id	target.process.pid	轉換為字串的程序 ID。
sha256	principal.process.file.sha256	從 SSH2 金鑰資訊擷取的檔案 SHA256 雜湊。
shost	principal.hostname	來源主機名稱。
source_address	principal.ip	來源 IP 位址。
source_port	principal.port	轉換為整數的來源通訊埠。
src	principal.ip	來源 IP 位址。
src_ip	principal.ip	來源 IP 位址。
src_port	principal.port	轉換為整數的來源通訊埠。
ssh2	security_result.detection_fields{}.key: "ssh2", security_result.detection_fields{}.value: Value of ssh2	SSH2 金鑰資訊。
子類型	metadata.product_event_type	活動的子類型。
task_summary	security_result.description	工作摘要，用做安全結果的說明。
時間戳記	metadata.event_timestamp	事件的時間戳記。
使用者	target.user.userid	與事件相關聯的使用者。
使用者名稱	principal.user.userid	與事件相關聯的使用者名稱。
user_name	principal.user.userid	使用者名稱。
	metadata.vendor_name	硬式編碼為「Juniper Firewall」。硬式編碼為「Juniper Firewall」。硬式編碼為「JUNIPER_JUNOS」。由剖析器邏輯根據記錄內容決定。如果不是 CEF 訊息，且未識別出其他特定事件類型，則預設為「STATUS_UPDATE」。如果是 CEF 訊息，請設為「NETWORK_HTTP」。如果沒有 desc 欄位，系統會從原始記錄訊息中擷取 message_description，並填入這個欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。