FileZilla-FTP-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie FileZilla-Logs mit Bindplane in Google Security Operations aufnehmen. Der Logstash-Parsercode extrahiert relevante Felder wie Zeitstempel, Hostnamen, Nutzer-IDs und Beschreibungen aus FileZilla-FTP-Serverlogs. Anschließend werden diese extrahierten Felder in einem einheitlichen Datenmodell (Unified Data Model, UDM) strukturiert, um eine konsistente Sicherheitsanalyse und ‑korrelation zu ermöglichen.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Windows 2016 oder höher oder ein Linux-Host mit
systemd - Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
- Privilegierter Zugriff auf eine Instanz von FileZilla Server
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent auf der FileZilla Server-Instanz installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie im Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
- Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: filelog: # Adjust the path to the log file file_path: <PATH_TO>/filezilla-logs.log log_type: 'file' exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FILEZILLA_FTP' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - filelog exporters: - chronicle/chronicle_w_labels- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<customer_id>durch die tatsächliche Kundennummer. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Logging in FileZilla konfigurieren
- Melden Sie sich mit FileZilla auf dem Server an.
- Öffnen Sie die FileZilla-Software.
- Klicken Sie auf Bearbeiten > Einstellungen.
- Wählen Sie im Menü Logging aus.
- Geben Sie die folgenden Konfigurationsdetails an:
- Klicken Sie das Kästchen Zeitstempel im Meldungsfeld anzeigen an.
- Klicken Sie das Kästchen Log to file an.
- Dateiname: Geben Sie einen Dateinamen ein und wählen Sie den Speicherpfad aus (z. B.
filezilla-logs). - Optional: Größe der Logdatei begrenzen: Klicken Sie dieses Kästchen an, um die Größe einer Logdatei zu begrenzen.
- Optional: Limit: Hier können Sie eine maximale Dateigröße für Ihre Protokolldatei in Megabyte eingeben.
- Klicken Sie auf OK.
- Starten Sie FileZilla neu.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Daten | read_only_udm.metadata.description | Der Inhalt des Felds data im Rohlog. |
| Daten | read_only_udm.metadata.event_timestamp.seconds | Wird aus dem Feld data mit einem Grok-Muster extrahiert und in Epochensekunden umgewandelt. |
| Daten | read_only_udm.network.http.response_code | Wird aus dem Feld data mit einem Grok-Muster extrahiert. |
| Daten | read_only_udm.principal.hostname | Wird aus dem Feld data mit einem Grok-Muster extrahiert. |
| Daten | read_only_udm.principal.port | Wird aus dem Feld data mit einem Grok-Muster extrahiert. |
| Daten | read_only_udm.principal.user.userid | Wird aus dem Feld data mit einem Grok-Muster extrahiert, sofern der Wert nicht not logged in ist. |
| Daten | read_only_udm.target.ip | Wird aus dem Feld data mit einem Grok-Muster extrahiert. |
| Daten | read_only_udm.target.process.pid | Wird aus dem Feld data mit einem Grok-Muster extrahiert. |
| read_only_udm.metadata.event_type | Wird auf NETWORK_FTP gesetzt, wenn target.ip vorhanden ist, andernfalls auf GENERIC_EVENT. |
|
| read_only_udm.metadata.log_type | Legen Sie FILEZILLA_FTP fest. |
|
| read_only_udm.metadata.product_name | Legen Sie FILEZILLA fest. |
|
| read_only_udm.metadata.vendor_name | Legen Sie FILEZILLA fest. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten