Collecter les journaux pfSense

Compatible avec :

Ce document explique comment ingérer des journaux pfSense dans Google Security Operations à l'aide de Bindplane.

pfSense est une distribution logicielle de pare-feu et de routeur Open Source basée sur FreeBSD. Il offre des fonctionnalités de filtrage de paquets avec état, de VPN, de mise en forme du trafic, de NAT, de serveur DHCP, de transfert DNS et de détection d'intrusion, toutes gérées via une interface Web. L'analyseur extrait les champs des journaux au format syslog pfSense. Il utilise grok pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à l'interface Web pfSense

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PFSENSE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • udplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
      • 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
      • 514 : numéro de port à écouter (port syslog standard)

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
      • log_type : type de journal tel qu'il apparaît dans Chronicle (PFSENSE)

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert Syslog sur pfSense

pfSense s'exécute sur FreeBSD et fournit une interface Web pour toutes les tâches de configuration, y compris le transfert syslog à distance.

  1. Connectez-vous à l'interface Web pfSense.
  2. Accédez à État> Journaux système> Paramètres.
  3. Accédez à la section Options de journalisation à distance.
  4. Sélectionnez Activer la journalisation à distance.
  5. Fournissez les informations de configuration suivantes :
    • Adresse source : sélectionnez N'importe quelle (ou une interface spécifique).
    • Protocole IP : sélectionnez IPv4.
    • Serveurs de journaux à distance : saisissez BINDPLANE_IP:514 dans le premier champ disponible. Remplacez BINDPLANE_IP par l'adresse IP de l'hôte de l'agent Bindplane.
  6. Dans la section Contenu Syslog distant, sélectionnez les catégories de journaux à transférer :
    • Événements système
    • Événements de pare-feu
    • Événements DNS (Resolver/unbound, Forwarder/dnsmasq)
    • Événements DHCP (service DHCP)
    • Événements PPP
    • Événements d'authentification (authentification du portail, RADIUS)
    • Événements VPN (IPsec, OpenVPN, L2TP)
    • Événements de passerelle (outil de surveillance des passerelles)
    • Événements de routage (daemon de routage)
    • Événements NTP
    • Packages (packages installés)
  7. Cliquez sur Enregistrer.
  8. Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal Mappage UDM Logique
application principal.application La valeur est extraite du message de journal à l'aide de modèles Grok. Pour les messages syslog, le nom de l'application se trouve généralement après le nom d'hôte et le code temporel.
commande principal.process.command_line Extrait du champ de description lorsque le journal indique l'exécution d'une commande.
description metadata.description Le champ de description est mappé à la description des métadonnées UDM, à l'exception des journaux d'application syslog-ng, où il est mappé à metadata.description. Pour les événements DHCP, le dhcp_type est ajouté au début de la description.
dhcp_type metadata.product_event_type Type de message DHCP (par exemple, DHCPDISCOVER, DHCPOFFER) est extrait et mappé.
hôte intermediary.hostname OU intermediary.ip Si la valeur de l'hôte est une adresse IP valide, elle est mappée sur intermediary.ip. Sinon, il est mappé sur intermediary.hostname.
hôte principal.hostname, principal.asset.hostname En l'absence d'adresse IP principale, l'hôte est traité comme le nom d'hôte principal.
mac principal.mac, network.dhcp.chaddr L'adresse MAC associée à une requête DHCP est extraite et mappée.
src_ip principal.ip, principal.asset.ip Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
src_mac principal.mac Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
dst_mac target.mac Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
timestamp metadata.event_timestamp L'horodatage est extrait du message de journal et converti au format UDM. Les informations sur le fuseau horaire (tz) sont ajoutées au code temporel avant la conversion, si elles sont disponibles.
timestamp_no_year metadata.event_timestamp Si un code temporel sans année est présent, il est analysé et l'année en cours est ajoutée lors du processus d'analyse.
utilisateur principal.user.userid Le nom d'utilisateur associé à un événement est extrait et mappé.
column1 security_result.rule_id Mappée à partir de la première colonne CSV si la description est au format CSV.
column6 security_result.rule_type Mappée à partir de la sixième colonne du fichier CSV si la description est au format CSV.
column7 security_result.action Mappée à partir de la septième colonne du fichier CSV si la description est au format CSV. Converti en "BLOCK" (BLOQUER) ou "ALLOW" (AUTORISER).
column8 network.direction Mappé à partir de la huitième colonne du fichier CSV si la description est au format CSV. Converti en "INBOUND" ou "OUTBOUND".
column13 network.ip_protocol (si UDP ou ICMP) Mappé à partir de la treizième colonne CSV si la description est au format CSV et que le protocole est UDP ou ICMP. Pour les événements TCP/UDP, il est utilisé pour créer un champ supplémentaire avec la clé "Id".
column16 principal.ip, principal.asset.ip (si IPv6 et que la colonne 9 est définie sur 6) Mappé à partir de la seizième colonne CSV si la description est au format CSV et que la colonne 9 est définie sur 6. Pour les événements TCP/UDP, il est utilisé pour l'identification du protocole si la colonne 9 est définie sur 4.
column17 target.ip, target.asset.ip (si IPv6 et non ip_failure) Mappé à partir de la dix-septième colonne CSV si la description est au format CSV, la colonne9 est définie sur 6 et la valeur est une adresse IP valide. Pour les événements TCP/UDP, il est utilisé pour identifier le protocole.
column18 principal.port (si UDP) Mappé à partir de la dix-huitième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements TCP/UDP, il est mappé à network.received_bytes.
column19 target.port (si UDP) Mappé à partir de la dix-neuvième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements DHCP, il est mappé à network.dhcp.yiaddr. Pour les autres événements, elle est mappée sur principal.ip et principal.asset.ip.
column20 additional.fields (clé : "data_length") (si UDP) Mappé à partir de la vingtième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les autres événements, il est mappé sur target.ip et target.asset.ip.
column21 principal.port (si TCP/UDP) Mappé à partir de la 21e colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column22 target.port (si TCP/UDP) Mappé à partir de la 22e colonne du fichier CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column23 additional.fields (clé : "data_length") (si TCP/UDP) Mappé à partir de la 23e colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column24 additional.fields (clé : "tcp_flags") (si TCP) Mappé à partir de la 24e colonne du fichier CSV si la description est au format CSV et que le protocole est TCP.
column25 additional.fields (clé : "sequence_number") (si TCP/UDP) Mappé à partir de la 25e colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column29 additional.fields (clé : "tcp_options") (si TCP) Mappé à partir de la 29e colonne CSV si la description est au format CSV et que le protocole est TCP.
compression_algo additional.fields (key: "Compression Algorithm") Extraites du champ de description et ajoutées en tant que champ supplémentaire.
décroiss. metadata.description Extrait du champ "Message" et utilisé comme description.
principal_ip principal.ip, principal.asset.ip Extrait du champ de description et représente l'adresse IP principale.
principal_username principal.user.userid Extrait du champ de description et représente le nom d'utilisateur principal.
état security_result.detection_fields (clé : "status") Extrait du champ de description et ajouté en tant que champ de détection dans le résultat de sécurité.
target_host target.hostname, target.asset.hostname Extrait du champ de description et représente le nom d'hôte cible.
src_port principal.port Extrait du champ de description et représente le port source. Déterminé en fonction de divers champs de journaux et de la logique de l'analyseur. Il peut s'agir de "NETWORK_CONNECTION", "NETWORK_DHCP", "STATUS_UPDATE" ou "GENERIC_EVENT". Codé en dur sur "PFSENSE". Codé en dur sur "PFSENSE". Codé en dur sur "PFSENSE". Définissez la valeur sur "DHCP" pour les événements DHCP. Définissez la valeur sur "BOOTREQUEST" pour DHCPDISCOVER et DHCPREQUEST, et sur "BOOTREPLY" pour DHCPOFFER et DHCPACK. Définissez-le sur "DISCOVER", "REQUEST", "OFFER" ou "ACK" en fonction du champ dhcp_type.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.