Juniper Junos-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Juniper Junos-Logs mit Bindplane in Google Security Operations aufnehmen.

Juniper Junos OS ist das Betriebssystem, das auf Routern, Switches und Sicherheitsgeräten von Juniper Networks ausgeführt wird. Sie bietet eine einheitliche Plattform für die Verwaltung der Netzwerkinfrastruktur, Routing-, Switching- und Sicherheitsfunktionen mit umfassender Protokollierung von Systemereignissen, Sicherheitsereignissen und Netzwerkverkehr. Der Parser extrahiert Felder aus Syslog- und Schlüssel/Wert-formatierten Logs von Juniper Junos. Die Log-Nachricht wird mit „grok“ und/oder „kv“ geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf das Juniper-Gerät mit Junos OS

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'JUNIPER_JUNOS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (JUNIPER_JUNOS)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung in Juniper Junos konfigurieren

  1. Stellen Sie über SSH oder die Konsole eine Verbindung zum Juniper-Gerät her.

  2. Konfigurationsmodus aufrufen:

    configure

  3. Konfigurieren Sie den Syslog-Host mit den folgenden Befehlen:

    set system syslog host BINDPLANE_IP any info
set system syslog host BINDPLANE_IP port 514
set system syslog host BINDPLANE_IP facility-override local7
set system syslog host BINDPLANE_IP log-prefix JUNOS
    • Ersetzen Sie BINDPLANE_IP durch die IP-Adresse des Bindplane-Agent-Hosts.

  4. Zusätzliche Log-Quellen konfigurieren (optional, aber empfohlen):

    set system syslog host BINDPLANE_IP authorization info
set system syslog host BINDPLANE_IP daemon info
set system syslog host BINDPLANE_IP kernel info
set system syslog host BINDPLANE_IP firewall any
set system syslog host BINDPLANE_IP interactive-commands info

  5. Strukturierte Syslog-Daten konfigurieren (optional für erweitertes Parsen):

    set system syslog host BINDPLANE_IP structured-data

  6. Führen Sie ein Commit der Konfiguration durch:

    commit and-quit

  7. Syslog-Konfiguration prüfen:

    show system syslog host BINDPLANE_IP

  8. Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
DVB target.port Der Zielport der Netzwerkverbindung, in eine Ganzzahl konvertiert.
Steuer auf digitale Dienste target.ip Die Ziel-IP-Adresse der Netzwerkverbindung.
FLAG additional.fields{}.key: „FLAG“, additional.fields{}.value.string_value: Wert von FLAG Das TCP-Flag, das mit der Netzwerkverbindung verknüpft ist.
ID additional.fields{}.key: „ID“, additional.fields{}.value.string_value: Wert der ID Das Feld für die IP-Identifizierung.
IN additional.fields{}.key: "IN", additional.fields{}.value.string_value: Value of IN Die eingehende Netzwerkschnittstelle.
LEN additional.fields{}.key: „LEN“, additional.fields{}.value.string_value: Wert von LEN Die Länge des IP-Pakets.
MAC principal.mac Die aus dem MAC-Feld extrahierte MAC-Adresse.
AUS additional.fields{}.key: „OUT“, additional.fields{}.value.string_value: Wert von OUT Die ausgehende Netzwerkschnittstelle.
PREC additional.fields{}.key: "PREC", additional.fields{}.value.string_value: Value of PREC Das Feld „Vorrang“ im IP-Header.
PROTO network.ip_protocol Das in der Netzwerkverbindung verwendete IP-Protokoll.
RES additional.fields{}.key: „RES“, additional.fields{}.value.string_value: Wert von RES Reserviertes Feld im TCP-Header.
SPT principal.port Der Quellport der Netzwerkverbindung, in eine Ganzzahl konvertiert.
SRC principal.ip Die Quell-IP-Adresse der Netzwerkverbindung.
TOS additional.fields{}.key: „TOS“, additional.fields{}.value.string_value: Wert von TOS Das Feld „Type of Service“ (Diensttyp) im IP-Header.
TTL network.dns.additional.ttl Der TTL-Wert (Time To Live), konvertiert in eine vorzeichenlose Ganzzahl.
URGP additional.fields{}.key: „URGP“, additional.fields{}.value.string_value: Wert von URGP Urgent-Pointer-Feld im TCP-Header.
WINDOW additional.fields{}.key: "WINDOW_SIZE", additional.fields{}.value.string_value: Value of WINDOW Die TCP-Fenstergröße.
Aktion security_result.action Die von der Firewall ausgeführte Aktion, die aus der CEF-Nachricht extrahiert wurde.
agt observer.ip Die IP-Adresse des Agents.
amac target.mac Die MAC-Adresse des Ziels, in Kleinbuchstaben umgewandelt und mit Doppelpunkten anstelle von Bindestrichen.
App target.application Die am Ereignis beteiligte Anwendung.
artz observer.zone Die Zeitzone des Beobachters.
atz target.location.country_or_region Die Zielzeitzone.
categoryBehavior additional.fields{}.key: „Category Behavior“, additional.fields{}.value.string_value: Wert von „categoryBehavior“ ohne Schrägstriche Das Kategorieverhalten.
categoryDeviceGroup additional.fields{}.key: „Category Device Group“, additional.fields{}.value.string_value: Wert von categoryDeviceGroup ohne Schrägstriche Die Kategorie der Gerätegruppe.
categoryObject additional.fields{}.key: „Category Object“, additional.fields{}.value.string_value: Wert von „categoryObject“ ohne Schrägstriche Das Kategorieobjekt.
categoryOutcome additional.fields{}.key: „Category Outcome“, additional.fields{}.value.string_value: Wert von „categoryOutcome“ ohne Schrägstriche Das Kategorieergebnis.
categorySignificance additional.fields{}.key: „category Significance“ (Bedeutung der Kategorie), additional.fields{}.value.string_value: Wert von categorySignificance Die Kategorie-Signifikanz.
Befehl target.process.command_line Der Befehl wurde ausgeführt.
cs1Label additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 1 aus der CEF-Nachricht.
cs2Label additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 2 aus der CEF-Nachricht.
cs3Label additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 3 aus der CEF-Nachricht.
cs4Label additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 4 aus der CEF-Nachricht.
cs5Label additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 5 aus der CEF-Nachricht.
cs6Label additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Wert des entsprechenden CEF-Felds Label und Wert des benutzerdefinierten Stringfelds 6 aus der CEF-Nachricht.
dhost target.hostname Ziel-Hostname.
deviceCustomString1 additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Value of deviceCustomString1 Benutzerdefinierter String 1 für Geräte.
deviceCustomString2 additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Value of deviceCustomString2 Benutzerdefinierter String 2 für Geräte.
deviceCustomString3 additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Value of deviceCustomString3 Benutzerdefinierter Gerätestring 3.
deviceCustomString4 additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Value of deviceCustomString4 Benutzerdefinierter Geräte-String 4.
deviceCustomString5 additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Value of deviceCustomString5 Benutzerdefinierter String 5 für Geräte.
deviceCustomString6 additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Value of deviceCustomString6 Benutzerdefinierter String 6 für Geräte.
deviceDirection network.direction Die Richtung des Netzwerk-Traffics.
deviceEventClassId additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of deviceEventClassId Die Geräteereignisklassen-ID.
deviceFacility observer.product.subproduct Die Geräteeinrichtung.
deviceProcessName about.process.command_line Der Prozessname des Geräts.
deviceSeverity security_result.severity Die Geräte-Schweregrad.
deviceTimeZone observer.zone Die Zeitzone des Geräts.
deviceVendor metadata.vendor_name Der Geräteanbieter.
deviceVersion metadata.product_version Die Geräteversion.
dpt target.port Der Zielport.
dst target.ip Die Ziel-IP-Adresse.
duser target.user.user_display_name Der Zielnutzer.
eventId additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of eventId Ereignis-ID
event_time metadata.event_timestamp Die Zeit, zu der das Ereignis aufgetreten ist, die aus der Nachricht geparst wurde.
firewall_action security_result.action_details Die ausgeführte Firewallaktion.
Host hauptkonto.hostname, vermittler.hostname Der Hostname des Geräts, das das Protokoll generiert. Wird in verschiedenen Fällen sowohl für den Auftraggeber als auch für den Vermittler verwendet.
msg security_result.summary Die mit dem Ereignis verknüpfte Nachricht, die als Zusammenfassung für das Sicherheitsergebnis verwendet wird.
Name metadata.product_event_type Der Name des Ereignisses.
process_name additional.fields{}.key: "process_name", additional.fields{}.value.string_value: Value of process_name Der Name des Prozesses.
p_id target.process.pid Die Prozess-ID, in einen String konvertiert.
sha256 principal.process.file.sha256 Der SHA256-Hash einer Datei, die aus den SSH2-Schlüsselinformationen extrahiert wurde.
shost principal.hostname Hostname der Quelle.
source_address principal.ip Die Quell-IP-Adresse.
source_port principal.port Der Quellport, in eine Ganzzahl konvertiert.
src principal.ip Die Quell-IP-Adresse.
src_ip principal.ip Die Quell-IP-Adresse.
src_port principal.port Der Quellport, in eine Ganzzahl konvertiert.
ssh2 security_result.detection_fields{}.key: "ssh2", security_result.detection_fields{}.value: Value of ssh2 SSH2-Schlüsselinformationen.
subtype metadata.product_event_type Der Untertyp des Ereignisses.
task_summary security_result.description Die Aufgabenübersicht, die als Beschreibung für das Sicherheitsergebnis verwendet wird.
timestamp metadata.event_timestamp Der Zeitstempel des Ereignisses.
Nutzer target.user.userid Der Nutzer, der mit dem Ereignis verknüpft ist.
Nutzername principal.user.userid Der Nutzername, der mit dem Ereignis verknüpft ist.
user_name principal.user.userid Der Nutzername.
metadata.vendor_name Fest codiert auf „Juniper Firewall“. Fest codiert auf „Juniper Firewall“. Fest codiert auf „JUNIPER_JUNOS“. Wird durch die Parserlogik basierend auf dem Loginhalt bestimmt. Der Standardwert ist „STATUS_UPDATE“, wenn es sich nicht um eine CEF-Nachricht handelt und kein anderer spezifischer Ereignistyp identifiziert wird. Legen Sie für CEF-Nachrichten „NETWORK_HTTP“ fest. Wenn kein „desc“-Feld vorhanden ist, wird dieses Feld mit der aus der Rohlogmeldung extrahierten „message_description“ gefüllt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten