Recopila registros de pfSense

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de pfSense a Google Security Operations con Bindplane.

pfSense es una distribución de software de firewall y router de código abierto basada en FreeBSD. Proporciona filtrado de paquetes con estado, VPN, modelado de tráfico, NAT, servidor DHCP, reenvío de DNS y capacidades de detección de intrusiones, todo administrado a través de una interfaz basada en la Web. El analizador extrae campos de los registros con formato syslog de pfSense. Utiliza grok para analizar el mensaje de registro y, luego, asigna estos valores al modelo de datos unificado (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso privilegiado a la interfaz web de pfSense

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  • Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PFSENSE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parámetros de configuración

  • Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • udplog: Usa udplog para el registro del sistema UDP o tcplog para el registro del sistema TCP.
      • 0.0.0.0: Dirección IP en la que se realizará la escucha (0.0.0.0 para escuchar en todas las interfaces)
      • 514: Número de puerto en el que se debe escuchar (puerto syslog estándar)

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID de cliente de la sección Obtén el ID de cliente
      • endpoint: URL del extremo regional:
        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.
      • log_type: Tipo de registro tal como aparece en Chronicle (PFSENSE)

Guarda el archivo de configuración

  • Después de editarlo, guarda el archivo:
    • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
    • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica que el servicio esté en ejecución:

        sudo systemctl status observiq-otel-collector

    2. Revisa los registros en busca de errores:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:

    • Símbolo del sistema o PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.

      3. Haz clic con el botón derecho y selecciona Reiniciar.

      4. Verifica que el servicio esté en ejecución:

        sc query observiq-otel-collector

      5. Revisa los registros en busca de errores:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de Syslog en pfSense

pfSense se ejecuta en FreeBSD y proporciona una interfaz basada en la Web para todas las tareas de configuración, incluido el reenvío remoto de syslog.

  1. Accede a la interfaz web de pfSense.
  2. Ve a Estado > Registros del sistema > Configuración.
  3. Ve a la sección Opciones de registro remoto.
  4. Selecciona Habilitar el registro remoto.
  5. Proporciona los siguientes detalles de configuración:
    • Dirección de origen: Selecciona Cualquiera (o una interfaz específica).
    • Protocolo de IP: Selecciona IPv4.
    • Servidores de registro remotos: Ingresa BINDPLANE_IP:514 en el primer campo disponible. Reemplaza BINDPLANE_IP por la dirección IP del host del agente de Bindplane.
  6. En la sección Contenido de Syslog remoto, selecciona las categorías de registro que deseas reenviar:
    • Eventos del sistema
    • Eventos de firewall
    • Eventos de DNS (Resolver/unbound, Forwarder/dnsmasq)
    • DHCP Events (Eventos de DHCP; servicio de DHCP)
    • Eventos de PPP
    • Eventos de autenticación (autenticación del portal, RADIUS)
    • Eventos de VPN (IPsec, OpenVPN, L2TP)
    • Eventos de Gateway (monitor de Gateway)
    • Eventos de enrutamiento (daemon de enrutamiento)
    • Eventos de NTP
    • Paquetes (paquetes instalados)
  7. Haz clic en Guardar.
  8. Para verificar que se envíen los mensajes de syslog, consulta los registros del agente de Bindplane.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
aplicación principal.application El valor se extrae del mensaje de registro con patrones de grok. En el caso de los mensajes de syslog, el nombre de la aplicación suele encontrarse después del nombre de host y la marca de tiempo.
comando principal.process.command_line Se extrae del campo de descripción cuando el registro indica la ejecución de un comando.
descripción metadata.description El campo de descripción se asigna a la descripción de los metadatos del UDM, excepto en los registros de la aplicación syslog-ng, en los que se asigna a metadata.description. En el caso de los eventos de DHCP, se antepone dhcp_type a la descripción.
dhcp_type metadata.product_event_type Tipo de mensaje DHCP (p.ej., DHCPDISCOVER, DHCPOFFER) se extrae y se asigna.
host intermediary.hostname O intermediary.ip Si el valor del host es una dirección IP válida, se asigna a intermediary.ip. De lo contrario, se asigna a intermediary.hostname.
host principal.hostname, principal.asset.hostname Cuando no hay una IP principal, el host se trata como el nombre de host principal.
mac principal.mac, network.dhcp.chaddr Se extrae y se asigna la dirección MAC asociada a una solicitud de DHCP.
src_ip principal.ip, principal.asset.ip Se extrae de formatos de registro específicos con un patrón de grok.
src_mac principal.mac Se extrae de formatos de registro específicos con un patrón de grok.
dst_mac target.mac Se extrae de formatos de registro específicos con un patrón de grok.
timestamp metadata.event_timestamp La marca de tiempo se extrae del mensaje de registro y se convierte a un formato de marca de tiempo de UDM. Si está disponible, la información de la zona horaria (tz) se agrega a la marca de tiempo antes de la conversión.
timestamp_no_year metadata.event_timestamp Si hay una marca de tiempo sin año, se analiza y se agrega el año actual durante el proceso de análisis.
usuario principal.user.userid Se extrae y se asigna el nombre de usuario asociado a un evento.
column1 security_result.rule_id Se asigna desde la primera columna del CSV si la descripción está en formato CSV.
column6 security_result.rule_type Se asigna desde la sexta columna del CSV si la descripción está en formato CSV.
column7 security_result.action Se asigna desde la séptima columna del CSV si la descripción está en formato CSV. Se convirtió en "BLOCK" o "ALLOW".
column8 network.direction Se asigna desde la octava columna del CSV si la descripción está en formato CSV. Se convirtió en "INBOUND" o "OUTBOUND".
column13 network.ip_protocol (si es UDP o ICMP) Se asigna desde la decimotercera columna del CSV si la descripción está en formato CSV y el protocolo es UDP o ICMP. En el caso de los eventos de TCP/UDP, se usa para crear un campo adicional con la clave "Id".
column16 principal.ip, principal.asset.ip (si IPv6 y column9 es 6) Se asigna desde la decimosexta columna del CSV si la descripción está en formato CSV y la columna9 es 6. En el caso de los eventos de TCP/UDP, se usa para la identificación del protocolo si column9 es 4.
column17 target.ip, target.asset.ip (si es IPv6 y no ip_failure) Se asigna desde la decimoséptima columna del CSV si la descripción está en formato CSV, la columna9 es 6 y el valor es una IP válida. En el caso de los eventos de TCP/UDP, se usa para la identificación del protocolo.
column18 principal.port (si es UDP) Se asigna desde la decimoctava columna del CSV si la descripción está en formato CSV y el protocolo es UDP. Para los eventos de TCP/UDP, se asigna a network.received_bytes.
column19 target.port (si es UDP) Se asigna desde la decimonovena columna del CSV si la descripción está en formato CSV y el protocolo es UDP. En el caso de los eventos de DHCP, se asigna a network.dhcp.yiaddr. Para otros eventos, se asigna a principal.ip y principal.asset.ip.
column20 additional.fields (clave: "data_length") (si es UDP) Se asigna desde la vigésima columna del CSV si la descripción está en formato CSV y el protocolo es UDP. Para otros eventos, se asigna a target.ip y target.asset.ip.
column21 principal.port (si es TCP/UDP) Se asigna desde la vigésima primera columna del CSV si la descripción está en formato CSV y el protocolo es TCP o UDP.
column22 target.port (si es TCP/UDP) Se asigna desde la columna veintidós del CSV si la descripción está en formato CSV y el protocolo es TCP o UDP.
column23 additional.fields (clave: "data_length") (si es TCP/UDP) Se asigna desde la columna veintitrés del CSV si la descripción está en formato CSV y el protocolo es TCP o UDP.
column24 additional.fields (clave: "tcp_flags") (si es TCP) Se asigna desde la columna veinticuatro del CSV si la descripción está en formato CSV y el protocolo es TCP.
column25 additional.fields (clave: "sequence_number") (si es TCP/UDP) Se asigna desde la vigésimo quinta columna del CSV si la descripción está en formato CSV y el protocolo es TCP o UDP.
column29 additional.fields (clave: "tcp_options") (si es TCP) Se asigna desde la columna veintinueve del CSV si la descripción está en formato CSV y el protocolo es TCP.
compression_algo additional.fields (clave: "Compression Algorithm") Se extrae del campo de descripción y se agrega como un campo adicional.
desc metadata.description Se extrae del campo de mensaje y se usa como descripción.
principal_ip principal.ip, principal.asset.ip Se extrae del campo de descripción y representa la dirección IP principal.
principal_username principal.user.userid Se extrae del campo de descripción y representa el nombre de usuario principal.
estado security_result.detection_fields (clave: "status") Se extrae del campo de descripción y se agrega como un campo de detección dentro del resultado de seguridad.
target_host target.hostname, target.asset.hostname Se extrae del campo de descripción y representa el nombre de host de destino.
src_port principal.port Se extrae del campo de descripción y representa el puerto de origen. Se determina en función de varios campos de registro y la lógica del analizador. Puede ser NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE o GENERIC_EVENT. Está codificado como "PFSENSE". Está codificado como "PFSENSE". Está codificado como "PFSENSE". Se establece en "DHCP" para los eventos de DHCP. Se establece en "BOOTREQUEST" para DHCPDISCOVER y DHCPREQUEST, y en "BOOTREPLY" para DHCPOFFER y DHCPACK. Se establece en "DISCOVER", "REQUEST", "OFFER" o "ACK" según el campo dhcp_type.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.