Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

vsftpd-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie vsftpd-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

vsftpd (Very Secure FTP Daemon) ist ein FTP-Server, der Syslog-Nachrichten für FTP-Verbindungen, Dateiübertragungen, Authentifizierungsereignisse und Sitzungsaktivitäten generiert.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem vsftpd-Server
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agent geöffnet sein.
Einen Root- oder sudo-Zugriff auf den vsftpd-Server

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

**Hinweis**: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agent bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

**Hinweis**: Die Kundennummer ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als WIRD AUSGEFÜHRT angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vsftpd:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VSFTPD
        raw_log_field: body

service:
    pipelines:
        logs/vsftpd_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vsftpd

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- listen_address: IP-Adresse und Port, auf die gewartet werden soll:
  - 0.0.0.0, um auf allen Schnittstellen zu warten (empfohlen)
  - Port 514 ist der Standard-Syslog-Port (erfordert Root-Berechtigungen unter Linux; verwenden Sie 1514 für Nicht-Root-Nutzer)
Exporterkonfiguration :
- creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Kundennummer, die aus der Google SecOps-Konsole kopiert wurde
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Vollständige Liste unter Regionale Endpunkte

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, damit die Änderungen übernommen werden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienstkonsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für vsftpd konfigurieren

Bearbeiten Sie die vsftpd-Konfigurationsdatei:
```
sudo nano /etc/vsftpd.conf
```
Legen Sie die folgenden Parameter fest:
```
syslog_enable=YES
log_ftp_protocol=YES
```
Konfigurieren Sie rsyslog so, dass vsftpd-Logs weitergeleitet werden. Bearbeiten Sie /etc/rsyslog.conf oder erstellen Sie eine neue Datei /etc/rsyslog.d/vsftpd.conf:
```
sudo nano /etc/rsyslog.d/vsftpd.conf
```
Fügen Sie die folgende Weiterleitungsregel hinzu und ersetzen Sie <bindplane-ip> durch die IP-Adresse Ihres Bindplane-Agent:
```
if $programname == 'vsftpd' then @<bindplane-ip>:514
```
Starten Sie vsftpd und rsyslog neu, damit die Änderungen übernommen werden:
```
sudo systemctl restart vsftpd
sudo systemctl restart rsyslog
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`certificate`	`security_result.detection_fields.key`: "cert" `security_result.detection_fields.value`: Wert von `certificate`	Der Wert des Felds `certificate` wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „cert“ zugeordnet.
`cipher`	`network.tls.cipher`	Der Wert des Felds `cipher` wird direkt zugeordnet.
`client_ip`	`principal.ip`	Der Wert des Felds `client_ip` wird direkt zugeordnet.
`date`	`metadata.event_timestamp`	Wird mit `month`, `year` und `time` verwendet, um `metadata.event_timestamp` zu erstellen. Das Format wird aus dem Feld `timestamp` im Rohlog abgeleitet, geparst und in ein Zeitstempelobjekt konvertiert.
`day`	`metadata.event_timestamp`	Wird mit `month`, `year` und `time` verwendet, um `metadata.event_timestamp` zu erstellen.
`desc`	`metadata.description`	Der Wert des Felds `desc` (aus dem Feld `type` extrahiert) wird direkt zugeordnet. Dies gilt für die Vorgänge „MKDIR“, „RMDIR“ und „DELETE“.
`description`	`network.ftp.command` `security_result.description` `target.file.full_path`	Wenn `type` „FTP command“ ist, wird der Wert `network.ftp.command` zugeordnet. Wenn `type` „DEBUG“ ist und nicht mit bestimmten SSL-Mustern übereinstimmt, wird er `security_result.description` zugeordnet. Wenn `type` mit „OK“ beginnt und nicht „OK LOGIN“ ist und das Log einen Dateivorgang (MKDIR, RMDIR, DELETE) beschreibt, wird er `target.file.full_path` zugeordnet.
`file_name`	`target.file.full_path`	Der Wert des Felds `file_name` wird direkt zugeordnet.
`file_size`	`network.received_bytes` `network.sent_bytes`	Wenn `type` „OK DOWNLOAD“ oder „FAIL DOWNLOAD“ ist, wird der Wert in eine vorzeichenlose Ganzzahl konvertiert und `network.received_bytes` zugeordnet. Wenn `type` „OK UPLOAD“ oder „FAIL UPLOAD“ ist, wird der Wert in eine vorzeichenlose Ganzzahl konvertiert und `network.sent_bytes` zugeordnet. Legen Sie „USER_LOGIN“ fest, wenn `type` „OK LOGIN“ ist. Legen Sie „FILE_UNCATEGORIZED“ fest, wenn `type` mit Dateivorgängen zusammenhängt („OK UPLOAD“, „OK DOWNLOAD“, „FAIL DOWNLOAD“, „OK MKDIR“, „OK RMDIR“, „OK DELETE“, „FAIL UPLOAD“). Legen Sie für alle anderen `type`-Werte „STATUS_UPDATE“ fest. Immer auf „VSFTPD“ festgelegt. Immer auf „VSFTPD“ festgelegt. Immer auf „VSFTPD“ festgelegt.
`month`	`metadata.event_timestamp`	Wird mit `day`, `year` und `time` verwendet, um `metadata.event_timestamp` zu erstellen.
`pid`	`principal.process.pid`	Der Wert des Felds `pid` wird direkt zugeordnet.
`response_code`	`network.http.response_code`	Der Wert des Felds `response_code` wird in eine Ganzzahl konvertiert und zugeordnet.
`reused_status`	`security_result.detection_fields.key`: "reused status" `security_result.detection_fields.value`: Wert von `reused_status`	Der Wert des Felds `reused_status` wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „reused status“ zugeordnet.
`speed`	`additional.fields.key`: "download_speed" oder "upload_speed" `additional.fields.value.string_value`: Wert von `speed`	Wenn `type` „OK DOWNLOAD“ oder „FAIL DOWNLOAD“ ist, wird der Wert `additional.fields` mit dem Schlüssel „download_speed“ zugeordnet. Wenn `type` „OK UPLOAD“ oder „FAIL UPLOAD“ ist, wird der Wert `additional.fields` mit dem Schlüssel „upload_speed“ zugeordnet.
`ssl_shutdown_state`	`security_result.detection_fields.key`: "SSL Shutdown State" `security_result.detection_fields.value`: Wert von `ssl_shutdown_state`	Der Wert des Felds `ssl_shutdown_state` wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „SSL Shutdown State“ zugeordnet.
`ssl_version`	`network.tls.version`	Der Wert des Felds `ssl_version` wird direkt zugeordnet.
`time`	`metadata.event_timestamp`	Wird mit `day`, `month` und `year` verwendet, um `metadata.event_timestamp` zu erstellen.
`type`	`metadata.description` `security_result.action_details`	Der Wert des Felds `type` wird `metadata.description` zugeordnet, außer wenn er „OK LOGIN“ ist. Er wird auch `security_result.action_details` zugeordnet, wenn er eine Zulassungs- oder Blockierungsaktion angibt (beginnt mit „OK“ oder „FAIL“).
`userid`	`principal.user.userid` `target.user.userid`	Wenn `type` „OK LOGIN“ ist, wird der Wert `target.user.userid` zugeordnet. Andernfalls wird er `principal.user.userid` zugeordnet.
`year`	`metadata.event_timestamp`	Wird mit `day`, `month` und `time` verwendet, um `metadata.event_timestamp` zu erstellen. Legen Sie „NETWORK“ fest, wenn `type` „OK LOGIN“ ist. Legen Sie „MACHINE“ fest, wenn `type` „OK LOGIN“ ist. Legen Sie „ALLOW“ fest, wenn `type` mit „OK“ beginnt. Legen Sie „BLOCK“ fest, wenn `type` mit „FAIL“ beginnt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten