收集 Pulse Secure 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 Pulse Secure 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 PULSE_SECURE_VPN 攝入標籤的剖析器。

設定 Pulse Secure VPN

如要設定 Pulse Secure VPN,請執行下列任一操作:

  • 設定 Pulse Secure VPN 8.3R3 版和更早版本
  • 設定 Pulse Secure VPN 8.3R4 以上版本

設定 Pulse Secure VPN 8.3R3 版和更早版本

  1. 登入 Pulse Connect Secure 控制台。
  2. Pulse Connect Secure 控制台中,依序選取「System」(系統)>「Log/monitoring」(記錄/監控)>「Settings」(設定)。 您可以從「活動」分頁、「使用者存取權」分頁或「管理員存取權」分頁中選取「設定」
  3. 在「選取要記錄的事件」部分,勾選所有對應事件的核取方塊。
  4. 在「Syslog servers」(系統記錄伺服器) 部分,執行下列操作:
    1. 在「伺服器名稱/IP」欄位中,指定 Google Security Operations 轉送器 IP 位址。
    2. 在「Facility」(設施) 清單中,選取「LOCAL0」。「設施」清單提供八個設施:LOCAL0LOCAL7。您可以使用其中一項設定,對應系統記錄伺服器上的設施。
    3. 在「Type」(類型) 清單中,選取「UDP」或「TCP」
  5. 按一下「新增」。
  6. 選用:如要為事件、管理員存取權或使用者存取記錄新增多個系統記錄伺服器,請重複步驟 2 至 4。
  7. 按一下 [儲存變更]。
  8. 如要確保系統預設使用標準記錄格式,請執行下列步驟:
    1. 開啟 Pulse Connect Secure 控制台。
    2. 在「事件」、「使用者存取權」和「管理員存取權」分頁中,將「篩選器」設為「標準」
    3. 如果標準篩選條件未定義為預設篩選條件,請按一下「設為預設」
    4. 按一下 [儲存]

設定 Pulse Secure VPN 8.3R4 以上版本

  1. 在「Pulse connect secure」控制台中,按一下「Events」(事件) 分頁、「User access」(使用者存取權) 分頁或「Admin access」(管理員存取權) 分頁,然後將「Filters」(篩選器) 設為「New filter」(新篩選器)
  2. 在「篩選器名稱」欄位中,輸入篩選器名稱。

  3. 在「匯出格式」部分中,選取「自訂」,並在欄位中輸入下列格式:

    [SecureConnect] %date% %time% - %node% - [%sourceip%] %user%(%realm%)[%role%] - %msg%

  4. 按一下 [儲存]

  5. 視裝置版本而定,如要啟用系統記錄設定,請執行下列其中一項操作:

    • 在 Pulse Secure VPN 上啟用系統記錄 (syslog) 記錄功能
    • 在 Ivanti Connect Secure 上啟用系統記錄 (syslog) 記錄功能

在 Pulse Secure VPN 上啟用系統記錄記錄功能

  1. Pulse connect secure 控制台中,依序選取「System」>「Log/monitoring」>「Settings」。 您可以從「活動」分頁、「使用者存取權」分頁或「管理員存取權」分頁中選取「設定」
  2. 在「選取要記錄的事件」部分,選取「HTML5 存取權」、「准入控制訊息」和「未經驗證的要求」核取方塊以外的所有核取方塊。
  3. 在「Syslog server」(系統記錄伺服器) 欄位中,輸入系統記錄伺服器的相關資訊。
  4. 在「Syslog servers」(系統記錄伺服器) 部分,執行下列操作:
    1. 在「伺服器名稱/IP」欄位中,輸入伺服器名稱或 Google Security Operations 轉送器 IP 位址。
    2. 在「Facility」(設施) 清單中,選取「LOCAL0」
    3. 在「Filter」(篩選器) 清單中,選取先前建立的篩選器。
  5. 按一下「新增」。
  6. 選用:如要為事件、管理員存取權或使用者存取記錄新增多個系統記錄伺服器,請重複步驟 2 至 4。
  7. 按一下 [儲存變更]。

在 Ivanti Connect Secure 上啟用系統記錄檔記錄功能

  1. 在「Pulse connect secure」控制台中,按一下「Events」、「User access」或「Admin access」分頁標籤,然後選取「Filters」
  2. 按一下「新增篩選器」分頁標籤。

  3. 在「匯出格式」部分中,選取「自訂」,並在欄位中輸入下列格式:

    [SecureConnect] %date% %time% - %node% - [%sourceip%] %user%(%realm%)[%role%] - %msg%

  4. 按一下 [儲存]

  5. 依序點選「System」>「Log/monitoring」,然後選取「Settings」分頁標籤。

  6. 在「Maximum log size」(記錄大小上限) 欄位中,指定記錄大小上限,然後選取要記錄的事件。

  7. 指定伺服器設定,如下所示:

    1. 在「伺服器名稱/IP」欄位中,指定 Syslog 伺服器的完整網域名稱或 Google Security Operations 轉送器 IP 位址。

      如果從類型清單中選取傳輸層安全 (TLS),伺服器名稱必須與從伺服器取得的憑證中 subjectDNCN 相符。

    2. 在「Facility」(設施) 清單中,選取 Syslog 伺服器設施層級。

    3. 在「類型」清單中,選取與系統記錄伺服器的連線類型,例如「UDP」、「TCP」或「TLS」。TLS 會使用密碼編譯通訊協定提供安全通訊。

      如果選取「TLS」TLS,請選取已安裝的用戶端憑證,用於驗證 Syslog 伺服器。用戶端憑證定義於「Configuration」(設定) >「Certificates」(憑證) >「Client auth certificates」(用戶端驗證憑證) 視窗。用戶端憑證必須先安裝在裝置上,才能使用。向憑證授權單位索取憑證。

    4. 在「篩選器」清單中,選取「自訂」

  8. 按一下「新增」。

設定 Google Security Operations 轉送器,以便擷取 Pulse Secure 記錄

  1. 依序選取「SIEM 設定」>「轉送器」
  2. 按一下「新增轉寄者」
  3. 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
  4. 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  5. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  6. 選取「Pulse Secure」做為「記錄類型」
  7. 選取「Syslog」做為「收集器類型」
  8. 設定下列必要輸入參數:
    • 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 連接埠:指定收集器所在位置的目標連接埠,並監聽系統記錄檔資料。
  9. 按一下「提交」

如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 Pulse Secure VPN 記錄檔中擷取欄位,並處理 Windows 事件記錄和 syslog 格式。這項服務會將各種記錄結構標準化為通用格式,並將事件分類 (例如登入、登出、連線和政策變更),然後加入使用者代理程式、IP 位址和時間戳記等情境資料。

UDM 對應表

記錄欄位 UDM 對應 邏輯
動作 security_result.action_details 直接對應至「action」欄位。
調度應用程式資源 principal.application 直接對應至「application」欄位。
bytes_read network.received_bytes 直接從 bytes_read 欄位對應,並轉換為不帶正負號的整數。
bytes_written network.sent_bytes 直接從 bytes_written 欄位對應,並轉換為不帶正負號的整數。
client_host principal.hostnameprincipal.asset.hostname 直接對應至「client_host」欄位。
cmd principal.process.command_line 直接對應至「cmd」欄位。
connection_status security_result.detection_fields.value.string_value 直接對應至「connection_status」欄位。
data_time metadata.event_timestamp.seconds 使用各種時間戳記格式 (MM-dd-yyyy HH:mm:ss Z、RFC 3339、ISO8601、MMM d HH:mm:ss、MMM d HH:mm:ss) 從 data_time 欄位剖析。
devname principal.hostnameprincipal.asset.hostname 直接對應至「devname」欄位。
dstip target.iptarget.asset.ip 直接對應至「dstip」欄位。
dstport target.port 直接從 dstport 欄位對應,並轉換為整數。
dstcountry target.location.country_or_region 如果不是「保留」或空白,則直接從 dstcountry 欄位對應。
持續時間 network.session_duration.seconds 直接從 duration 欄位對應,並轉換為整數。
dvc intermediary.hostnameintermediary.ip 如果 dvc 欄位可以轉換為 IP 位址,則會對應至 intermediary.ip。否則會對應至 intermediary.hostname
dvc_hostname intermediary.hostnameprincipal.hostnameprincipal.asset.hostnameintermediary.ipprincipal.ipprincipal.asset.ip 如果 dvc_hostname 欄位可以轉換為 IP 位址,系統會將其對應至相關 IP 欄位。否則會對應至各自的主機名稱欄位。
event_type metadata.product_event_type 直接對應至「event_type」欄位。
failure_reason security_result.description 直接從「failure_reason」欄位對應。如果訊息包含「因為主辦人」,失敗原因會加上「主辦人」前置字串。
has_principal event.idm.read_only_udm.principal (狀態) 如果填入任何主體欄位,則設為「true」,否則設為「false」。由剖析器邏輯衍生。
has_target event.idm.read_only_udm.target (狀態) 如果已填入任何目標欄位,則設為「true」,否則設為「false」。由剖析器邏輯衍生。
has_target_user event.idm.read_only_udm.target.user.userid (狀態) 如果已填入 target.user.userid,請設為「true」,否則請設為「false」。由剖析器邏輯衍生。
host_ip principal.ipprincipal.asset.ip 直接對應至「host_ip」欄位。
host_mac principal.mac 直接從 host_mac 欄位對應,並以半形冒號取代連字號。
http_method network.http.method 直接對應至「http_method」欄位。
http_response network.http.response_code 直接從 http_response 欄位對應,並轉換為整數。
info_desc about.labels.value 直接對應至「info_desc」欄位。
ip_new target.iptarget.asset.ip 直接對應至「ip_new」欄位。
level security_result.severitysecurity_result.severity_details security_result.severity 是從 level 欄位衍生而來 (「error」/「warning」-> HIGH、「notice」-> MEDIUM、「information」/「info」-> LOW)。level 的原始值也會對應至 security_result.severity_details
logid metadata.product_log_id 直接對應至「logid」欄位。
locip principal.ipprincipal.asset.ip 直接對應至「locip」欄位。
訊息 metadata.description 用於使用 grok 和 kv 篩選器擷取各種欄位。如果訊息包含「EventID」,系統會將其視為 Windows 事件記錄檔。
message_info metadata.description 如果未在更具體的 grok 模式中使用,則直接對應至 metadata.description
msg metadata.product_event_typemetadata.description 如果存在 msg 欄位,系統會擷取產品類型並對應至 metadata.product_event_type,其餘訊息則會對應至 metadata.description
msg_hostname principal.hostnameprincipal.asset.hostname 直接對應至「msg_hostname」欄位。
msg_ip principal.ipprincipal.asset.ip 直接對應至「msg_ip」欄位。
msg_user_agent network.http.user_agentnetwork.http.parsed_user_agentmetadata.product_version 使用者代理程式字串會對應至 network.http.user_agent,剖析後的使用者代理程式會對應至 network.http.parsed_user_agent,產品版本 (如有) 則會對應至 metadata.product_version
network_duration network.session_duration.seconds 直接從 network_duration 欄位對應,並轉換為整數。
policyid security_result.rule_id 直接對應至「policyid」欄位。
policyname security_result.rule_name 直接對應至「policyname」欄位。
policytype security_result.rule_type 直接對應至「policytype」欄位。
priority_code about.labels.value 直接從 priority_code 欄位對應,也用於推導「嚴重程度」鍵的 about.labels.value (請參閱邏輯)。
prod_name metadata.product_name 直接對應至「prod_name」欄位。
product_type metadata.product_event_type 直接對應至「product_type」欄位。
product_version metadata.product_version 直接對應至「product_version」欄位。
proto network.ip_protocol 轉換為 IP 通訊協定名稱後,會對應至 network.ip_protocol
pwd principal.process.file.full_path 直接對應至「pwd」欄位。
運作範圍 principal.group.attribute.labels.value 直接對應至「realm」欄位。
rcvdbyte network.received_bytes 直接從 rcvdbyte 欄位對應,並轉換為不帶正負號的整數。
remip target.ip 直接對應至「remip」欄位。
資源名稱 target.resource.name 直接從 resource_name 欄位對應,並移除開頭/結尾的空白字元和連字號。
resource_status security_result.description 直接對應至「resource_status」欄位。
resource_user_group principal.user.group_identifiers 直接對應至「resource_user_group」欄位。
resource_user_name principal.user.userid 直接對應至「resource_user_name」欄位。
角色 principal.user.group_identifiers 直接對應至「roles」欄位。
sentbyte network.sent_bytes 直接從 sentbyte 欄位對應,並轉換為不帶正負號的整數。
session_id network.session_id 直接對應至「session_id」欄位。
sessionid network.session_id 直接對應至「sessionid」欄位。
srcip principal.ipprincipal.asset.ip 直接對應至「srcip」欄位。
srcport principal.port 直接從 srcport 欄位對應,並轉換為整數。
srccountry principal.location.country_or_region 如果不是「保留」或空白,則直接從 srccountry 欄位對應。
子類型 metadata.product_event_type type 搭配使用,可形成 metadata.product_event_type
target_file target.file.full_path 直接對應至「target_file」欄位。
target_host target.hostnametarget.asset.hostname 直接對應至「target_host」欄位。
target_ip target.iptarget.asset.ip 直接對應至「target_ip」欄位。
target_port target.port 直接從 target_port 欄位對應,並轉換為整數。
target_url target.url 直接對應至「target_url」欄位。
時間 metadata.event_timestamp.seconds 使用「yyyy-MM-dd HH:mm:ss」格式從 time 欄位剖析。
類型 metadata.product_event_type subtype 搭配使用,可形成 metadata.product_event_type
u_event_source_ip principal.ipprincipal.asset.iptarget.ip 如果存在 target_iptarget_hostu_event_source_ip 會對應至 principal.ipprincipal.asset.ip。否則,如果 target_iptarget_hosttarget_url 皆為空白,則 u_event_source_ip 會對應至 target.ip
u_observer_ip observer.ip 直接對應至「u_observer_ip」欄位。
u_prin_ip principal.ipprincipal.asset.ip 直接對應至「u_prin_ip」欄位。
使用者 target.user.userid 直接對應至「user」欄位。
user_agent network.http.user_agentnetwork.http.parsed_user_agent 使用者代理程式字串會對應至 network.http.user_agent,剖析後的使用者代理程式則會對應至 network.http.parsed_user_agent
user_group_identifier target.user.group_identifiersprincipal.user.group_identifiers 在大多數情況下,會對應至 target.user.group_identifiers。對應至 IP 變更 (USER_UNCATEGORIZED) 和領域限制事件中的 principal.user.group_identifiers
user_ip principal.ipprincipal.asset.ip 直接對應至「user_ip」欄位。如果為空白,且 u_event_source_ip 不為空白,則會採用 u_event_source_ip 的值。
使用者名稱 principal.user.useridtarget.user.userid 在大多數情況下,會對應至 principal.user.userid。在某些特定情況下 (例如 detect_user_logout_failed 為 false 且 detect_policy_change_failed 為 false 時),會對應至 target.user.userid
username_removed target.user.userid 直接對應至「username_removed」欄位。
vd principal.administrative_domain 直接對應至「vd」欄位。

metadata.vendor_namemetadata.product_namemetadata.event_typemetadata.log_typenetwork.ip_protocolsecurity_result.actionsecurity_result.severityextensions.auth.type 是由剖析器邏輯根據「邏輯」欄中說明的條件衍生或設定。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。