Coletar registros do vsftpd
Este documento explica como ingerir registros do vsftpd no Google Security Operations usando o agente do Bindplane.
O vsftpd (Very Secure FTP Daemon) é um servidor FTP que gera mensagens de syslog para conexões FTP, transferências de arquivos, eventos de autenticação e atividade de sessão.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e o servidor vsftpd
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
- Acesso root ou sudo ao servidor vsftpd
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID de cliente da seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para outras opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir o syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux :
sudo nano /opt/observiq-otel-collector/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/vsftpd: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VSFTPD raw_log_field: body service: pipelines: logs/vsftpd_to_chronicle: receivers: - udplog exporters: - chronicle/vsftpd
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor :
listen_address: endereço IP e porta para detectar:0.0.0.0para detectar em todas as interfaces (recomendado)- A porta
514é a porta syslog padrão (requer root no Linux; use1514para não root)
Configuração do exportador :
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID de cliente copiado do console do Google SecOpsendpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte Endpoints regionais para a lista completa
- EUA:
Salvar o arquivo de configuração
- Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O, depoisEntereCtrl+X - Windows: clique em Arquivo > Salvar
- Linux: pressione
Reiniciar o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está sendo executado:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o observIQ OpenTelemetry Collector.
- Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está sendo executado:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o encaminhamento de syslog para vsftpd
Edite o arquivo de configuração do vsftpd:
sudo nano /etc/vsftpd.confDefina os seguintes parâmetros:
syslog_enable=YES log_ftp_protocol=YESConfigure o rsyslog para encaminhar registros do vsftpd. Edite
/etc/rsyslog.confou crie um novo arquivo/etc/rsyslog.d/vsftpd.conf:sudo nano /etc/rsyslog.d/vsftpd.confAdicione a seguinte regra de encaminhamento (substitua
<bindplane-ip>pelo endereço IP do agente do Bindplane):if $programname == 'vsftpd' then @<bindplane-ip>:514Reinicie o vsftpd e o rsyslog para aplicar as mudanças:
sudo systemctl restart vsftpd sudo systemctl restart rsyslog
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
certificate |
security_result.detection_fields.key: "cert"security_result.detection_fields.value: valor de certificate |
O valor do campo certificate é mapeado para um objeto security_result.detection_fields com a chave "cert". |
cipher |
network.tls.cipher |
O valor do campo cipher é mapeado diretamente. |
client_ip |
principal.ip |
O valor do campo client_ip é mapeado diretamente. |
date |
metadata.event_timestamp |
Usado com month, year, e time para construir o metadata.event_timestamp. O formato é derivado do campo timestamp no registro bruto, analisado e convertido em um objeto de carimbo de data/hora. |
day |
metadata.event_timestamp |
Usado com month, year, e time para construir o metadata.event_timestamp. |
desc |
metadata.description |
O valor do campo desc (extraído do campo type) é mapeado diretamente. Isso se aplica às operações "MKDIR", "RMDIR" e "DELETE". |
description |
network.ftp.commandsecurity_result.descriptiontarget.file.full_path |
Se type for "FTP command", o valor será mapeado para network.ftp.command. Se type for "DEBUG" e não corresponder a padrões SSL específicos, ele será mapeado para security_result.description. Se type começar com "OK" e não for "OK LOGIN", e o registro descrever uma operação de arquivo (MKDIR, RMDIR, DELETE), ele será mapeado para target.file.full_path. |
file_name |
target.file.full_path |
O valor do campo file_name é mapeado diretamente. |
file_size |
network.received_bytesnetwork.sent_bytes |
Se type for "OK DOWNLOAD" ou "FAIL DOWNLOAD", o valor será convertido em um número inteiro não assinado e mapeado para network.received_bytes. Se type for "OK UPLOAD" ou "FAIL UPLOAD", o valor será convertido em um número inteiro não assinado e mapeado para network.sent_bytes. Defina como "USER_LOGIN" se type for "OK LOGIN". Defina como "FILE_UNCATEGORIZED" se type estiver relacionado a operações de arquivo ("OK UPLOAD", "OK DOWNLOAD", "FAIL DOWNLOAD", "OK MKDIR", "OK RMDIR", "OK DELETE", "FAIL UPLOAD"). Defina como "STATUS_UPDATE" para todos os outros valores de type. Sempre defina como "VSFTPD". Sempre defina como "VSFTPD". Sempre defina como "VSFTPD". |
month |
metadata.event_timestamp |
Usado com day, year e time para construir o metadata.event_timestamp. |
pid |
principal.process.pid |
O valor do campo pid é mapeado diretamente. |
response_code |
network.http.response_code |
O valor do campo response_code é convertido em um número inteiro e mapeado. |
reused_status |
security_result.detection_fields.key: "reused status"security_result.detection_fields.value: valor de reused_status |
O valor do campo reused_status é mapeado para um objeto security_result.detection_fields com a chave "reused status". |
speed |
additional.fields.key: "download_speed" ou "upload_speed"additional.fields.value.string_value: valor de speed |
Se type for "OK DOWNLOAD" ou "FAIL DOWNLOAD", o valor será mapeado para additional.fields com a chave "download_speed". Se type for "OK UPLOAD" ou "FAIL UPLOAD", o valor será mapeado para additional.fields com a chave "upload_speed". |
ssl_shutdown_state |
security_result.detection_fields.key: "SSL Shutdown State"security_result.detection_fields.value: valor de ssl_shutdown_state |
O valor do campo ssl_shutdown_state é mapeado para um objeto security_result.detection_fields com a chave "SSL Shutdown State". |
ssl_version |
network.tls.version |
O valor do campo ssl_version é mapeado diretamente. |
time |
metadata.event_timestamp |
Usado com day, month e year para construir o metadata.event_timestamp. |
type |
metadata.descriptionsecurity_result.action_details |
O valor do campo type é mapeado para metadata.description, exceto quando é "OK LOGIN". Ele também é mapeado para security_result.action_details quando indica uma ação de permissão ou bloqueio (começa com "OK" ou "FAIL"). |
userid |
principal.user.useridtarget.user.userid |
Se type for "OK LOGIN", o valor será mapeado para target.user.userid. Caso contrário, ele será mapeado para principal.user.userid. |
year |
metadata.event_timestamp |
Usado com day, month e time para construir o metadata.event_timestamp. Defina como "NETWORK" se type for "OK LOGIN". Defina como "MACHINE" se type for "OK LOGIN". Defina como "ALLOW" se type começar com "OK". Defina como "BLOCK" se type começar com "FAIL". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.