收集 Juniper Junos 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 Juniper Junos 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 JUNIPER_JUNOS 攝入標籤的剖析器。

為 Juniper Networks SRX 裝置設定結構化記錄

結構化記錄格式會從記錄訊息中擷取資訊。記錄格式符合 Syslog 通訊協定

  1. 使用 SSH 登入 Juniper SRX CLI 的管理 IP 位址。
  2. 在 Shell 提示中輸入 CLI,然後按下 Enter 鍵。
  3. 輸入 configure 並按下 Enter 鍵,進入裝置的設定模式。
  4. 輸入聯絡資料或客戶參考點。

  5. 如要將欄位對應至使用者帳戶,請執行下列指令:

       set system syslog host FORWARDER_IP_ADDRESS any info

   set system syslog host FORWARDER_IP_ADDRESS structured-data

    FORWARDER_IP_ADDRESS 替換為 Google Security Operations 轉送器的 IP 位址。

  6. 如要啟用安全性記錄的結構化記錄功能,請使用下列指令:

       set security log mode stream

   set security log source-address SRC_IP_ADDRESS

   set security log stream SYSLOG_STREAM_NAME host FORWARDER_IP_ADDRESS

   set security log stream SYSLOG_STREAM_NAME format sd-syslog

    更改下列內容:

    • SRC_IP_ADDRESS:Juniper SRX 裝置的 IP 位址。

    • SYSLOG_STREAM_NAME:指派給系統記錄伺服器的名稱。

    • FORWARDER_IP_ADDRESS:Google Security Operations 轉送器的 IP 位址。

  7. 請確認所有安全性政策都已啟用記錄功能。如要啟用記錄功能,請執行下列指令:

       set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-close

   set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-init

  8. 使用下列指令在裝置上設定主機名稱:

       set system host-name HOSTNAME

    HOSTNAME 替換為指派的 Juniper Networks SRX 裝置。

  9. 輸入 commit,將執行的指令儲存到設定中。

設定 Google Security Operations 轉送程式和系統記錄,擷取 Juniper Junos 記錄

  1. 依序選取「SIEM 設定」>「轉送器」
  2. 按一下「新增轉寄者」
  3. 在「轉寄者名稱」欄位中輸入專屬名稱。
  4. 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  5. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  6. 選取「Juniper Junos」做為「記錄類型」
  7. 選取「Syslog」做為「收集器類型」
  8. 設定下列輸入參數:
    • 通訊協定:將通訊協定指定為 UDP
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
  9. 按一下「提交」

如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。如要瞭解各轉送器類型的相關規定,請參閱「依類型設定轉送器」。 如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 Juniper JUNOS 系統記錄訊息中擷取欄位,並處理鍵/值和非鍵/值格式。它會使用 grok 模式比對各種訊息結構 (包括防火牆記錄、SSH 活動和指令執行),然後將擷取的欄位對應至 UDM。剖析器也會使用 include 檔案處理 CEF 格式的記錄,並根據訊息內容執行特定動作,例如將 IP 位址和使用者名稱合併至適當的 UDM 欄位。

UDM 對應表

記錄欄位 UDM 對應 邏輯
DPT target.port 網路連線的目的地通訊埠,已轉換為整數。
DST target.ip 網路連線的目的地 IP 位址。
FLAG additional.fields{}.key: "FLAG", additional.fields{}.value.string_value: Value of FLAG 與網路連線相關聯的 TCP 旗標。
ID additional.fields{}.key:「ID」,additional.fields{}.value.string_valueID 的值 IP 識別欄位。
IN additional.fields{}.key:「IN」,additional.fields{}.value.string_valueIN 的值 連入網路介面。
LEN additional.fields{}.key:「LEN」,additional.fields{}.value.string_valueLEN 的值 IP 封包的長度。
MAC principal.mac 從「MAC」欄位擷取的 MAC 位址。
OUT additional.fields{}.key: "OUT", additional.fields{}.value.string_value: Value of OUT 外送網路介面。
PREC additional.fields{}.key:「PREC」,additional.fields{}.value.string_valuePREC 的值 IP 標頭中的優先順序欄位。
PROTO network.ip_protocol 網路連線中使用的 IP 通訊協定。
RES additional.fields{}.key: "RES", additional.fields{}.value.string_value: Value of RES TCP 標頭中的保留欄位。
SPT principal.port 網路連線的來源通訊埠,轉換為整數。
SRC principal.ip 網路連線的來源 IP 位址。
TOS additional.fields{}.key: "TOS", additional.fields{}.value.string_value: Value of TOS IP 標頭中的服務類型欄位。
TTL network.dns.additional.ttl 存留時間值,轉換為無正負號整數。
URGP additional.fields{}.key: "URGP", additional.fields{}.value.string_value: Value of URGP TCP 標頭中的緊急指標欄位。
WINDOW additional.fields{}.key:「WINDOW_SIZE」,additional.fields{}.value.string_valueWINDOW 的值 TCP 視窗大小。
action security_result.action 防火牆採取的動作,從 CEF 訊息中擷取。
agt observer.ip 代理程式的 IP 位址。
amac target.mac 目標的 MAC 位址,轉換為小寫,並將連字號換成半形冒號。
app target.application 與事件相關的應用程式。
artz observer.zone 觀察者的時區。
atz target.location.country_or_region 目標時區。
categoryBehavior additional.fields{}.key:「Category Behavior」(類別行為),additional.fields{}.value.string_value:移除斜線的 categoryBehavior 類別行為。
categoryDeviceGroup additional.fields{}.key:「Category Device Group」,additional.fields{}.value.string_value:移除斜線的 categoryDeviceGroup 類別裝置群組。
categoryObject additional.fields{}.key:「Category Object」(類別物件),additional.fields{}.value.string_value:移除斜線的 categoryObject 類別物件。
categoryOutcome additional.fields{}.key:「Category Outcome」(類別結果),additional.fields{}.value.string_value:移除斜線的 categoryOutcome 類別結果。
categorySignificance additional.fields{}.key: "category Significance", additional.fields{}.value.string_value: Value of categorySignificance 類別重要性。
command target.process.command_line 已執行指令。
cs1Label additional.fields{}.keycs1Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 1 標籤和值。
cs2Label additional.fields{}.keycs2Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 2 標籤和值。
cs3Label additional.fields{}.keycs3Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 3 標籤和值。
cs4Label additional.fields{}.keycs4Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 4 標籤和值。
cs5Label additional.fields{}.keycs5Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 5 標籤和值。
cs6Label additional.fields{}.keycs6Labeladditional.fields{}.value.string_value:對應 CEF 欄位的值 CEF 訊息中的自訂字串欄位 6 標籤和值。
dhost target.hostname 目的地主機名稱。
deviceCustomString1 additional.fields{}.keycs1Labeladditional.fields{}.value.string_valuedeviceCustomString1 的值 裝置自訂字串 1。
deviceCustomString2 additional.fields{}.keycs2Labeladditional.fields{}.value.string_valuedeviceCustomString2 的值 裝置自訂字串 2。
deviceCustomString3 additional.fields{}.keycs3Labeladditional.fields{}.value.string_valuedeviceCustomString3 的值 裝置自訂字串 3。
deviceCustomString4 additional.fields{}.keycs4Labeladditional.fields{}.value.string_valuedeviceCustomString4 的值 裝置自訂字串 4。
deviceCustomString5 additional.fields{}.keycs5Labeladditional.fields{}.value.string_valuedeviceCustomString5 的值 裝置自訂字串 5。
deviceCustomString6 additional.fields{}.keycs6Labeladditional.fields{}.value.string_valuedeviceCustomString6 的值 裝置自訂字串 6。
deviceDirection network.direction 網路流量的方向。
deviceEventClassId additional.fields{}.key: "eventId", additional.fields{}.value.string_value: deviceEventClassId 的值 裝置事件類別 ID。
deviceFacility observer.product.subproduct 裝置設施。
deviceProcessName about.process.command_line 裝置程序名稱。
deviceSeverity security_result.severity 裝置嚴重程度。
deviceTimeZone observer.zone 裝置時區。
deviceVendor metadata.vendor_name 裝置供應商。
deviceVersion metadata.product_version 裝置版本。
dpt target.port 目的地通訊埠。
dst target.ip 目的地 IP 位址。
duser target.user.user_display_name 目的地使用者。
eventId additional.fields{}.key: "eventId", additional.fields{}.value.string_value: eventId 的值 活動 ID。
event_time metadata.event_timestamp 從訊息剖析的事件發生時間。
firewall_action security_result.action_details 防火牆採取的動作。
host principal.hostnameintermediary.hostname 產生記錄的裝置主機名稱。在不同情況下,可同時用於本金和中介。
msg security_result.summary 與事件相關的訊息,做為安全結果的摘要。
name metadata.product_event_type 活動名稱。
process_name additional.fields{}.key: "process_name", additional.fields{}.value.string_value: Value of process_name 程序的名稱。
p_id target.process.pid 轉換為字串的程序 ID。
sha256 principal.process.file.sha256 從 SSH2 金鑰資訊擷取的檔案 SHA256 雜湊。
shost principal.hostname 來源主機名稱。
source_address principal.ip 來源 IP 位址。
source_port principal.port 轉換為整數的來源通訊埠。
src principal.ip 來源 IP 位址。
src_ip principal.ip 來源 IP 位址。
src_port principal.port 轉換為整數的來源通訊埠。
ssh2 security_result.detection_fields{}.key: "ssh2", security_result.detection_fields{}.value: Value of ssh2 SSH2 金鑰資訊。
subtype metadata.product_event_type 活動的子類型。
task_summary security_result.description 工作摘要,用做安全結果的說明。
timestamp metadata.event_timestamp 事件的時間戳記。
user target.user.userid 與事件相關聯的使用者。
username principal.user.userid 與事件相關聯的使用者名稱。
user_name principal.user.userid 使用者名稱。
metadata.vendor_name 硬式編碼為「Juniper Firewall」。硬式編碼為「Juniper Firewall」。硬式編碼為「JUNIPER_JUNOS」。由剖析器邏輯根據記錄內容決定。如果不是 CEF 訊息,且未識別出其他特定事件類型,則預設為「STATUS_UPDATE」。如果是 CEF 訊息,請設為「NETWORK_HTTP」。如果沒有 desc 欄位,這個欄位會填入從原始記錄訊息擷取的 message_description

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。