pfSense-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie pfSense-Logs mit Bindplane in Google Security Operations aufnehmen.

pfSense ist eine Open-Source-Firewall- und Router-Software-Distribution, die auf FreeBSD basiert. Sie bietet Funktionen für die zustandsbehaftete Paketfilterung, VPN, Traffic Shaping, NAT, DHCP-Server, DNS-Weiterleitung und Intrusion Detection, die alle über eine webbasierte Oberfläche verwaltet werden. Der Parser extrahiert Felder aus pfSense-Syslog-formatierten Logs. Die Logmeldung wird mit Grok geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die pfSense-Weboberfläche

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PFSENSE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (PFSENSE)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung in pfSense konfigurieren

pfSense wird unter FreeBSD ausgeführt und bietet eine webbasierte Oberfläche für alle Konfigurationsaufgaben, einschließlich der Weiterleitung von Syslog-Einträgen.

  1. Melden Sie sich in der Weboberfläche von pfSense an.
  2. Gehen Sie zu Status > Systemprotokolle > Einstellungen.
  3. Gehen Sie zum Abschnitt Optionen für die Remote-Protokollierung.
  4. Wählen Sie Remote-Logging aktivieren aus.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Quelladresse: Wählen Sie Beliebig (oder eine bestimmte Schnittstelle) aus.
    • IP-Protokoll: Wählen Sie IPv4 aus.
    • Remoteprotokollserver: Geben Sie BINDPLANE_IP:514 in das erste verfügbare Feld ein. Ersetzen Sie BINDPLANE_IP durch die IP-Adresse des Bindplane-Agent-Hosts.
  6. Wählen Sie im Bereich Inhalte des Remote-Syslog die weiterzuleitenden Protokollkategorien aus:
    • Systemereignisse
    • Firewallereignisse
    • DNS-Ereignisse (Resolver/unbound, Forwarder/dnsmasq)
    • DHCP-Ereignisse (DHCP-Dienst)
    • PPP-Ereignisse
    • Authentifizierungsereignisse (Portal Auth, RADIUS)
    • VPN-Ereignisse (IPsec, OpenVPN, L2TP)
    • Gateway-Ereignisse (Gateway-Monitor)
    • Routing-Ereignisse (Routing-Daemon)
    • NTP-Ereignisse
    • Pakete (installierte Pakete)
  7. Klicken Sie auf Speichern.
  8. Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Anwendung principal.application Der Wert wird mithilfe von Grok-Mustern aus der Log-Nachricht extrahiert. Bei Syslog-Meldungen befindet sich der Anwendungsname in der Regel nach dem Hostnamen und dem Zeitstempel.
Befehl principal.process.command_line Wird aus dem Feld „description“ extrahiert, wenn das Log auf die Ausführung eines Befehls hinweist.
Beschreibung metadata.description Das Feld „description“ wird der UDM-Metadatenbeschreibung zugeordnet, mit Ausnahme von syslog-ng-Anwendungsprotokollen, bei denen es „metadata.description“ zugeordnet wird. Bei DHCP-Ereignissen wird der Beschreibung der dhcp_type vorangestellt.
dhcp_type metadata.product_event_type Der DHCP-Nachrichtentyp (z.B. DHCPDISCOVER, DHCPOFFER) extrahiert und zugeordnet.
Host intermediary.hostname ODER intermediary.ip Wenn der Hostwert eine gültige IP-Adresse ist, wird er intermediary.ip zugeordnet. Andernfalls wird sie intermediary.hostname zugeordnet.
Host hauptkonto.hostname, hauptkonto.asset.hostname Wenn keine Haupt-IP vorhanden ist, wird der Host als Haupt-Hostname behandelt.
mac principal.mac, network.dhcp.chaddr Die MAC-Adresse, die mit einer DHCP-Anfrage verknüpft ist, wird extrahiert und zugeordnet.
src_ip principal.ip, principal.asset.ip Aus bestimmten Logformaten mit einem Grok-Muster extrahiert.
src_mac principal.mac Aus bestimmten Logformaten mit einem Grok-Muster extrahiert.
dst_mac target.mac Aus bestimmten Logformaten mit einem Grok-Muster extrahiert.
timestamp metadata.event_timestamp Der Zeitstempel wird aus der Log-Nachricht extrahiert und in ein UDM-Zeitstempelformat konvertiert. Die Zeitzoneninformationen (tz) werden dem Zeitstempel vor der Konvertierung angehängt, sofern sie verfügbar sind.
timestamp_no_year metadata.event_timestamp Wenn ein Zeitstempel ohne Jahresangabe vorhanden ist, wird er geparst und das aktuelle Jahr wird während des Parsens hinzugefügt.
Nutzer principal.user.userid Der mit einem Ereignis verknüpfte Nutzername wird extrahiert und zugeordnet.
Spalte1 security_result.rule_id Wird aus der ersten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt.
column6 security_result.rule_type Wird aus der sechsten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt.
column7 security_result.action Wird aus der siebten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt. In „BLOCK“ oder „ALLOW“ konvertiert.
column8 network.direction Wird aus der achten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt. In „INBOUND“ oder „OUTBOUND“ konvertiert.
column13 network.ip_protocol (bei UDP oder ICMP) Wird aus der dreizehnten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll UDP oder ICMP ist. Bei TCP/UDP-Ereignissen wird damit ein zusätzliches Feld mit dem Schlüssel „Id“ erstellt.
column16 principal.ip, principal.asset.ip (wenn IPv6 und column9 = 6) Wird aus der sechzehnten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und column9 den Wert 6 hat. Bei TCP/UDP-Ereignissen wird sie zur Protokollidentifizierung verwendet, wenn column9 den Wert 4 hat.
column17 target.ip, target.asset.ip (bei IPv6 und nicht ip_failure) Wird aus der siebzehnten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt, column9 den Wert 6 hat und der Wert eine gültige IP-Adresse ist. Bei TCP/UDP-Ereignissen wird es zur Protokollidentifizierung verwendet.
column18 principal.port (bei UDP) Wird aus der 18. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll UDP ist. Bei TCP/UDP-Ereignissen wird sie network.received_bytes zugeordnet.
column19 target.port (bei UDP) Wird aus der 19. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll UDP ist. Bei DHCP-Ereignissen wird sie network.dhcp.yiaddr zugeordnet. Bei anderen Ereignissen wird sie principal.ip und principal.asset.ip zugeordnet.
column20 additional.fields (key: "data_length") (bei UDP) Wird aus der zwanzigsten CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll UDP ist. Bei anderen Ereignissen wird es target.ip, target.asset.ip zugeordnet.
column21 principal.port (bei TCP/UDP) Wird aus der 21. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP oder UDP ist.
column22 target.port (bei TCP/UDP) Wird aus der 22. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP oder UDP ist.
column23 additional.fields (key: „data_length“) (bei TCP/UDP) Wird aus der 23. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP oder UDP ist.
column24 additional.fields (key: "tcp_flags") (bei TCP) Wird aus der 24. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP ist.
column25 additional.fields (key: „sequence_number“) (bei TCP/UDP) Wird aus der 25. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP oder UDP ist.
column29 additional.fields (key: „tcp_options“) (bei TCP) Wird aus der 29. CSV-Spalte zugeordnet, wenn die Beschreibung im CSV-Format vorliegt und das Protokoll TCP ist.
compression_algo additional.fields (key: "Compression Algorithm") Aus dem Beschreibungsfeld extrahiert und als zusätzliches Feld hinzugefügt.
Ab metadata.description Aus dem Nachrichtenfeld extrahiert und als Beschreibung verwendet.
principal_ip principal.ip, principal.asset.ip Wird aus dem Beschreibungsfeld extrahiert und stellt die primäre IP-Adresse dar.
principal_username principal.user.userid Wird aus dem Feld „Beschreibung“ extrahiert und stellt den Hauptnutzernamen dar.
Status security_result.detection_fields (Schlüssel: „status“) Aus dem Beschreibungsfeld extrahiert und als Erkennungsfeld im Sicherheitsergebnis hinzugefügt.
target_host target.hostname, target.asset.hostname Wird aus dem Beschreibungsfeld extrahiert und stellt den Ziel-Hostname dar.
src_port principal.port Wird aus dem Feld „Beschreibung“ extrahiert und stellt den Quellport dar. Wird anhand verschiedener Logfelder und der Parserlogik ermittelt. Kann NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE oder GENERIC_EVENT sein. Fest codiert auf „PFSENSE“. Fest codiert auf „PFSENSE“. Fest codiert auf „PFSENSE“. Auf „DHCP“ für DHCP-Ereignisse festlegen. Auf „BOOTREQUEST“ für DHCPDISCOVER und DHCPREQUEST und auf „BOOTREPLY“ für DHCPOFFER und DHCPACK festlegen. Wird basierend auf dem Feld „dhcp_type“ auf „DISCOVER“, „REQUEST“, „OFFER“ oder „ACK“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten