Collecter les journaux FTP FileZilla
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer les journaux FileZilla dans Google Security Operations à l'aide de Bindplane. Le code du parseur Logstash extrait les champs pertinents tels que les codes temporels, les noms d'hôte, les ID utilisateur et les descriptions des journaux du serveur FTP FileZilla. Il structure ensuite ces champs extraits dans un modèle de données unifié (UDM) pour une analyse et une corrélation cohérentes de la sécurité.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Instance Google SecOps
- Windows 2016 ou version ultérieure, ou un hôte Linux avec
systemd - Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
- Accès privilégié à une instance de FileZilla Server
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane sur l'instance FileZilla Server
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: filelog: # Adjust the path to the log file file_path: <PATH_TO>/filezilla-logs.log log_type: 'file' exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'FILEZILLA_FTP' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - filelog exporters: - chronicle/chronicle_w_labels- Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez
<customer_id>par le numéro client réel. - Mettez à jour
/path/to/ingestion-authentication-file.jsonen indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer la journalisation dans FileZilla
- Connectez-vous au serveur avec FileZilla.
- Ouvrez le logiciel FileZilla.
- Accédez à Modifier > Paramètres.
- Sélectionnez Journalisation dans le menu.
- Fournissez les informations de configuration suivantes :
- Cochez la case Afficher les codes temporels dans la zone de message.
- Cochez la case Enregistrer dans un fichier.
- Nom du fichier : saisissez un nom de fichier et sélectionnez le chemin de stockage (par exemple,
filezilla-logs). - Facultatif : Limiter la taille du fichier journal : cochez cette case pour limiter l'espace qu'un fichier journal peut utiliser.
- Facultatif : Limite : vous pouvez saisir ici la taille maximale de votre fichier journal en mégaoctets.
- Cliquez sur OK.
- Redémarrez FileZilla.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| données | read_only_udm.metadata.description | Contenu du champ data du journal brut. |
| données | read_only_udm.metadata.event_timestamp.seconds | Extrait du champ data à l'aide d'un modèle Grok et converti en secondes epoch. |
| données | read_only_udm.network.http.response_code | Extrait du champ data à l'aide d'un modèle Grok. |
| données | read_only_udm.principal.hostname | Extrait du champ data à l'aide d'un modèle Grok. |
| données | read_only_udm.principal.port | Extrait du champ data à l'aide d'un modèle Grok. |
| données | read_only_udm.principal.user.userid | Extrait du champ data à l'aide d'un modèle Grok, uniquement si la valeur n'est pas not logged in. |
| données | read_only_udm.target.ip | Extrait du champ data à l'aide d'un modèle Grok. |
| données | read_only_udm.target.process.pid | Extrait du champ data à l'aide d'un modèle Grok. |
| read_only_udm.metadata.event_type | Définie sur NETWORK_FTP si target.ip existe, sinon définie sur GENERIC_EVENT. |
|
| read_only_udm.metadata.log_type | Variable définie sur FILEZILLA_FTP. |
|
| read_only_udm.metadata.product_name | Variable définie sur FILEZILLA. |
|
| read_only_udm.metadata.vendor_name | Variable définie sur FILEZILLA. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.