Juniper Junos 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane을 사용하여 Juniper Junos 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Juniper Junos OS는 Juniper Networks 라우터, 스위치, 보안 기기를 지원하는 운영체제입니다. 시스템 이벤트, 보안 이벤트, 네트워크 트래픽에 대한 포괄적인 로깅을 통해 네트워크 인프라 관리, 라우팅, 스위칭, 보안 기능을 위한 통합 플랫폼을 제공합니다. 파서는 Juniper Junos syslog 및 키-값 형식 로그에서 필드를 추출합니다. grok 또는 kv를 사용하여 로그 메시지를 파싱한 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑합니다. 또한 이벤트 소스 및 유형의 기본 메타데이터 값을 설정합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Junos OS를 실행하는 Juniper 기기에 대한 액세스 권한
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector
서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector
서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'JUNIPER_JUNOS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters:- chronicle/chronicle_w_labels
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
udplog: UDP syslog의 경우udplog, TCP syslog의 경우tcplog사용0.0.0.0: 리슨할 IP 주소 (모든 인터페이스에서 리슨하려면0.0.0.0)514: 리슨할 포트 번호 (표준 syslog 포트)
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 고객 ID 가져오기 섹션의 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type: Chronicle에 표시되는 로그 유형 (JUNIPER_JUNOS)
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
명령 프롬프트 또는 PowerShell(관리자 권한)
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R를 누르고services.msc를 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Juniper Junos에서 Syslog 전달 구성
- SSH 또는 콘솔을 통해 Juniper 기기에 연결합니다.
구성 모드로 진입합니다.
configure다음 명령어를 사용하여 syslog 호스트를 구성합니다.
set system syslog host BINDPLANE_IP any info set system syslog host BINDPLANE_IP port 514 set system syslog host BINDPLANE_IP facility-override local7 set system syslog host BINDPLANE_IP log-prefix JUNOSBINDPLANE_IP를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
추가 로그 소스를 구성합니다 (선택사항이지만 권장).
set system syslog host BINDPLANE_IP authorization info set system syslog host BINDPLANE_IP daemon info set system syslog host BINDPLANE_IP kernel info set system syslog host BINDPLANE_IP firewall any set system syslog host BINDPLANE_IP interactive-commands info구조화된 syslog 데이터 구성 (향상된 파싱을 위해 선택사항):
set system syslog host BINDPLANE_IP structured-data구성을 커밋합니다.
commit and-quitsyslog 구성을 확인합니다.
show system syslog host BINDPLANE_IPBindplane 에이전트 로그를 확인하여 syslog 메시지가 전송되고 있는지 확인합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| DPT | target.port | 네트워크 연결의 대상 포트입니다(정수로 변환됨). |
| DST : 디지털 서비스세 | target.ip | 네트워크 연결의 대상 IP 주소입니다. |
| FLAG | additional.fields{}.key: 'FLAG', additional.fields{}.value.string_value: Value of FLAG | 네트워크 연결과 연결된 TCP 플래그입니다. |
| ID | additional.fields{}.key: 'ID', additional.fields{}.value.string_value: ID 값 | IP 식별 필드입니다. |
| IN | additional.fields{}.key: "IN", additional.fields{}.value.string_value: Value of IN | 수신 네트워크 인터페이스입니다. |
| LEN | additional.fields{}.key: 'LEN', additional.fields{}.value.string_value: LEN 값 | IP 패킷의 길이입니다. |
| MAC | principal.mac | MAC 필드에서 추출된 MAC 주소입니다. |
| OUT | additional.fields{}.key: 'OUT', additional.fields{}.value.string_value: OUT 값 | 발신 네트워크 인터페이스입니다. |
| PREC | additional.fields{}.key: 'PREC', additional.fields{}.value.string_value: PREC 값 | IP 헤더의 우선순위 필드입니다. |
| PROTO | network.ip_protocol | 네트워크 연결에 사용된 IP 프로토콜입니다. |
| RES | additional.fields{}.key: 'RES', additional.fields{}.value.string_value: RES 값 | TCP 헤더의 예약된 필드입니다. |
| SPT | principal.port | 네트워크 연결의 소스 포트(정수로 변환됨)입니다. |
| SRC | principal.ip | 네트워크 연결의 소스 IP 주소입니다. |
| TOS | additional.fields{}.key: 'TOS', additional.fields{}.value.string_value: TOS 값 | IP 헤더의 서비스 유형 필드입니다. |
| TTL | network.dns.additional.ttl | TTL(수명) 값을 부호 없는 정수로 변환한 값입니다. |
| URGP | additional.fields{}.key: 'URGP', additional.fields{}.value.string_value: URGP 값 | TCP 헤더의 긴급 포인터 필드입니다. |
| WINDOW | additional.fields{}.key: 'WINDOW_SIZE', additional.fields{}.value.string_value: WINDOW 값 | TCP 창 크기입니다. |
| action | security_result.action | CEF 메시지에서 추출된 방화벽에 의해 수행된 작업입니다. |
| agt | observer.ip | 상담사의 IP 주소입니다. |
| amac | target.mac | 타겟의 MAC 주소로, 소문자로 변환되고 하이픈이 콜론으로 대체됩니다. |
| 앱 | target.application | 이벤트와 관련된 애플리케이션입니다. |
| artz | observer.zone | 관찰자 시간대입니다. |
| atz | target.location.country_or_region | 대상 시간대입니다. |
| categoryBehavior | additional.fields{}.key: 'Category Behavior', additional.fields{}.value.string_value: 슬래시가 삭제된 categoryBehavior 값 | 카테고리 동작입니다. |
| categoryDeviceGroup | additional.fields{}.key: 'Category Device Group', additional.fields{}.value.string_value: 슬래시가 삭제된 categoryDeviceGroup 값 | 카테고리 기기 그룹입니다. |
| categoryObject | additional.fields{}.key: 'Category Object', additional.fields{}.value.string_value: 슬래시가 삭제된 categoryObject의 값 | 카테고리 객체입니다. |
| categoryOutcome | additional.fields{}.key: 'Category Outcome', additional.fields{}.value.string_value: 슬래시가 삭제된 categoryOutcome 값 | 카테고리 결과입니다. |
| categorySignificance | additional.fields{}.key: 'category Significance', additional.fields{}.value.string_value: Value of categorySignificance | 카테고리 중요도입니다. |
| 명령어 | target.process.command_line | 실행된 명령어입니다. |
| cs1Label | additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 1 라벨 및 값입니다. |
| cs2Label | additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 2 라벨 및 값입니다. |
| cs3Label | additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 3 라벨 및 값입니다. |
| cs4Label | additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 4 라벨 및 값입니다. |
| cs5Label | additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 5 라벨 및 값입니다. |
| cs6Label | additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: 해당 CEF 필드의 값 | CEF 메시지의 맞춤 문자열 필드 6 라벨 및 값입니다. |
| dhost | target.hostname | 대상 호스트 이름입니다. |
| deviceCustomString1 | additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Value of deviceCustomString1 | 기기 맞춤 문자열 1입니다. |
| deviceCustomString2 | additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Value of deviceCustomString2 | 기기 맞춤 문자열 2 |
| deviceCustomString3 | additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Value of deviceCustomString3 | 기기 맞춤 문자열 3입니다. |
| deviceCustomString4 | additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Value of deviceCustomString4 | 기기 맞춤 문자열 4입니다. |
| deviceCustomString5 | additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Value of deviceCustomString5 | 기기 맞춤 문자열 5 |
| deviceCustomString6 | additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Value of deviceCustomString6 | 기기 맞춤 문자열 6 |
| deviceDirection | network.direction | 네트워크 트래픽의 방향입니다. |
| deviceEventClassId | additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of deviceEventClassId | 기기 이벤트 클래스 ID입니다. |
| deviceFacility | observer.product.subproduct | 기기 시설입니다. |
| deviceProcessName | about.process.command_line | 기기 프로세스 이름입니다. |
| deviceSeverity | security_result.severity | 기기 심각도입니다. |
| deviceTimeZone | observer.zone | 기기 시간대입니다. |
| deviceVendor | metadata.vendor_name | 기기 공급업체입니다. |
| deviceVersion | metadata.product_version | 기기 버전입니다. |
| dpt | target.port | 대상 포트입니다. |
| dst | target.ip | 대상 IP 주소입니다. |
| duser | target.user.user_display_name | 대상 사용자입니다. |
| eventId | additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Value of eventId | 이벤트 ID입니다. |
| event_time | metadata.event_timestamp | 메시지에서 파싱된 이벤트가 발생한 시간입니다. |
| firewall_action | security_result.action_details | 취해진 방화벽 작업입니다. |
| 호스트 | principal.hostname, intermediary.hostname | 로그를 생성하는 기기의 호스트 이름입니다. 다양한 사례에서 주체와 중개자 모두에 사용됩니다. |
| msg | security_result.summary | 이벤트와 연결된 메시지로, 보안 결과의 요약으로 사용됩니다. |
| name | metadata.product_event_type | 이벤트 이름입니다. |
| process_name | additional.fields{}.key: "process_name", additional.fields{}.value.string_value: Value of process_name | 프로세스 이름입니다. |
| p_id | target.process.pid | 문자열로 변환된 프로세스 ID입니다. |
| sha256 | principal.process.file.sha256 | SSH2 키 정보에서 추출한 파일의 SHA256 해시입니다. |
| shost | principal.hostname | 소스 호스트 이름입니다. |
| source_address | principal.ip | 소스 IP 주소입니다. |
| source_port | principal.port | 정수로 변환된 소스 포트입니다. |
| src | principal.ip | 소스 IP 주소입니다. |
| src_ip | principal.ip | 소스 IP 주소입니다. |
| src_port | principal.port | 정수로 변환된 소스 포트입니다. |
| ssh2 | security_result.detection_fields{}.key: "ssh2", security_result.detection_fields{}.value: Value of ssh2 | SSH2 키 정보입니다. |
| 하위 유형 | metadata.product_event_type | 이벤트의 하위 유형입니다. |
| task_summary | security_result.description | 작업 요약으로, 보안 결과의 설명으로 사용됩니다. |
| 타임스탬프 | metadata.event_timestamp | 이벤트의 타임스탬프입니다. |
| 사용자 | target.user.userid | 이벤트와 연결된 사용자입니다. |
| 사용자 이름 | principal.user.userid | 이벤트와 연결된 사용자 이름입니다. |
| user_name | principal.user.userid | 사용자 이름입니다. |
| metadata.vendor_name | 'Juniper Firewall'로 하드코딩됩니다. 'Juniper Firewall'로 하드코딩됩니다. 'JUNIPER_JUNOS'로 하드코딩됩니다. 로그 콘텐츠를 기반으로 파서 로직에 의해 결정됩니다. CEF 메시지가 아니고 다른 특정 이벤트 유형이 식별되지 않은 경우 기본값은 'STATUS_UPDATE'입니다. CEF 메시지의 경우 'NETWORK_HTTP'로 설정합니다. desc 필드가 없으면 이 필드는 원시 로그 메시지에서 추출된 message_description으로 채워집니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.