Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Juniper NetScreen Firewall

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyiapkan log Juniper NetScreen Firewall untuk dikirim ke Google Security Operations. Parser mengekstrak kolom menggunakan pola grok, yang menangani berbagai format syslog dan payload JSON. Kemudian, alat ini memetakan kolom yang diekstrak ini ke UDM, yang mengategorikan peristiwa sebagai koneksi jaringan, login pengguna, pembaruan status, atau peristiwa umum berdasarkan keberadaan kolom tertentu seperti alamat IP, nama pengguna, dan port.

Sebelum memulai

Pastikan Anda memiliki akses administratif ke Juniper NetScreen Firewall.
Pastikan Anda memiliki instance Google Security Operations.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: juniper_firewall
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi firewall NetScreen Juniper Networks

Login ke antarmuka web Juniper NetScreen.
Pilih Konfigurasi > Setelan laporan > Setelan log.
Centang semua kotak Keparahan peristiwa.
Klik Terapkan.
Pilih Konfigurasi > Setelan laporan > Syslog.
Centang kotak Aktifkan pesan syslog.
Dalam daftar Source interface, pilih antarmuka NetScreen tempat paket syslog perlu dikirim.
Di bagian Server syslog, centang kotak Enable dan berikan hal berikut:
1. IP/Hostname: masukkan alamat IP Bindplane.
2. Port: masukkan nomor port Bindplane.
3. Fasilitas MDR: pilih tingkat fasilitas Local0.
4. Fasilitas: pilih tingkat fasilitas Local0.
Klik Terapkan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`ACTION`	`security_result.action_details`	Dipetakan langsung dari kolom `ACTION` yang diekstrak melalui filter GROK dan KV.
`APPLICATION`	`principal.application`	Dipetakan langsung dari kolom `APPLICATION` yang diekstrak melalui filter GROK dan KV.
`application`	`target.application`	Dipetakan langsung dari kolom `application` yang diekstrak melalui GROK.
`attack-name`	`security_result.threat_name`	Dipetakan langsung dari kolom `attack-name` yang diekstrak melalui GROK.
`bytes-from-client`	`network.sent_bytes`	Dipetakan langsung dari kolom `bytes-from-client` yang diekstrak melalui GROK.
`bytes-from-server`	`network.received_bytes`	Dipetakan langsung dari kolom `bytes-from-server` yang diekstrak melalui GROK.
`command`	`target.process.command_line`	Dipetakan langsung dari kolom `command` yang diekstrak melalui GROK.
`destination-address`	`target.ip`	Dipetakan langsung dari kolom `destination-address` yang diekstrak melalui GROK.
`destination-port`	`target.port`	Dipetakan langsung dari kolom `destination-port` yang diekstrak melalui GROK.
`destination-zone`	`additional.fields[].value.string_value`	Dipetakan langsung dari kolom `destination-zone` yang diekstrak melalui filter GROK dan KV. `key` disetel ke `destination-zone`.
`destination_zone-name`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `destination_zone-name` yang diekstrak melalui GROK. `key` disetel ke `dstzone`.
`dst-nat-rule-name`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `dst-nat-rule-name` yang diekstrak melalui GROK. `key` disetel ke `dst-nat-rule-name`.
`dst-nat-rule-type`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `dst-nat-rule-type` yang diekstrak melalui GROK. `key` disetel ke `dst-nat-rule-type`.
`elapsed-time`	`network.session_duration.seconds`	Dipetakan langsung dari kolom `elapsed-time` yang diekstrak melalui GROK.
`encrypted`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `encrypted` yang diekstrak melalui GROK. `key` disetel ke `encrypted`.
`event_time`	`metadata.event_timestamp`	Stempel waktu diekstrak dari log mentah menggunakan berbagai pola GROK, dengan memprioritaskan `event_time`, lalu `TIMESTAMP_ISO8601`, dan terakhir `SYSLOGTIMESTAMP`. Kemudian, objek ini dikonversi menjadi objek stempel waktu.
`host`	`principal.hostname`, `intermediary.hostname`	Jika `type` adalah `NetScreen`, dipetakan ke `intermediary.hostname`. Jika tidak, dipetakan ke `principal.hostname`.
`host_ip`	`intermediary.ip`	Dipetakan langsung dari kolom `host_ip` yang diekstrak melalui GROK.
`icmp-type`	`network.icmp_type`	Dipetakan langsung dari kolom `icmp-type` yang diekstrak melalui GROK.
`ident`	`target.application`	Dipetakan langsung dari kolom `ident` yang diekstrak melalui filter GROK dan JSON.
`inbound-bytes`	`network.received_bytes`	Dipetakan langsung dari kolom `inbound-bytes` yang diekstrak melalui GROK.
`inbound-packets`	`network.received_packets`	Dipetakan langsung dari kolom `inbound-packets` yang diekstrak melalui GROK.
`ip`	`principal.ip`, `intermediary.ip`	Jika `type` adalah `NetScreen`, dipetakan ke `intermediary.ip`. Jika tidak, dipetakan ke `principal.hostname`.
`message`	`security_result.description`	Jika pesannya adalah JSON dan kolom `log_message_data` tidak ada, kolom `message` akan digunakan sebagai deskripsi.
`msg_data`	`security_result.summary`	Dipetakan langsung dari kolom `msg_data` yang diekstrak melalui GROK.
`nat-destination-address`	`target.nat_ip`	Dipetakan langsung dari kolom `nat-destination-address` yang diekstrak melalui GROK.
`nat-destination-port`	`target.nat_port`	Dipetakan langsung dari kolom `nat-destination-port` yang diekstrak melalui GROK.
`nat-source-address`	`principal.nat_ip`	Dipetakan langsung dari kolom `nat-source-address` yang diekstrak melalui GROK.
`nat-source-port`	`principal.nat_port`	Dipetakan langsung dari kolom `nat-source-port` yang diekstrak melalui GROK.
`outbound-bytes`	`network.sent_bytes`	Dipetakan langsung dari kolom `outbound-bytes` yang diekstrak melalui GROK.
`outbound-packets`	`network.sent_packets`	Dipetakan langsung dari kolom `outbound-packets` yang diekstrak melalui GROK.
`packets-from-client`	`network.sent_packets`	Dipetakan langsung dari kolom `packets-from-client` yang diekstrak melalui GROK.
`packets-from-server`	`network.received_packets`	Dipetakan langsung dari kolom `packets-from-server` yang diekstrak melalui GROK.
`packet-incoming-interface`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `packet-incoming-interface` yang diekstrak melalui GROK. `key` disetel ke `packet-incoming-interface`.
`pid`	`target.process.pid`	Dipetakan langsung dari kolom `pid` yang diekstrak melalui filter GROK dan JSON.
`policy-name`	`security_result.rule_name`	Dipetakan langsung dari kolom `policy-name` yang diekstrak melalui GROK.
`PROFILE`	`additional.fields[].value.string_value`	Dipetakan langsung dari kolom `PROFILE` yang diekstrak melalui filter GROK dan KV. `key` disetel ke `PROFILE`.
`protocol-id`, `protocol-name`	`network.ip_protocol`	Dipetakan dari kolom `protocol-id` atau `protocol-name` yang diekstrak melalui GROK. Nilai dikonversi menjadi enum protokol IP yang sesuai.
`REASON`	`additional.fields[].value.string_value`	Dipetakan langsung dari kolom `REASON` yang diekstrak melalui filter GROK dan KV. `key` disetel ke `REASON`.
`reason`	`security_result.description`	Dipetakan langsung dari kolom `reason` yang diekstrak melalui GROK.
`rule-name`	`security_result.rule_name`	Dipetakan langsung dari kolom `rule-name` yang diekstrak melalui GROK.
`SESSION_ID`	`network.session_id`	Dipetakan langsung dari kolom `SESSION_ID` yang diekstrak melalui filter GROK dan KV.
`service-name`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `service-name` yang diekstrak melalui GROK. `key` disetel ke `srvname`.
`source-address`	`principal.ip`	Dipetakan langsung dari kolom `source-address` yang diekstrak melalui GROK.
`source-port`	`principal.port`	Dipetakan langsung dari kolom `source-port` yang diekstrak melalui GROK.
`source-zone`	`additional.fields[].value.string_value`	Dipetakan langsung dari kolom `source-zone` yang diekstrak melalui filter GROK dan KV. `key` disetel ke `source-zone`.
`source_zone-name`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `source_zone-name` yang diekstrak melalui GROK. `key` disetel ke `srczone`.
`src-nat-rule-name`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `src-nat-rule-name` yang diekstrak melalui GROK. `key` disetel ke `src-nat-rule-name`.
`src-nat-rule-type`	`security_result.detection_fields[].value`	Dipetakan langsung dari kolom `src-nat-rule-type` yang diekstrak melalui GROK. `key` disetel ke `src-nat-rule-type`.
`subtype`	`metadata.product_event_type`	Dipetakan langsung dari kolom `subtype` yang diekstrak melalui GROK.
`threat-severity`	`security_result.severity_details`	Dipetakan langsung dari kolom `threat-severity` yang diekstrak melalui GROK.
`time`	`metadata.event_timestamp`	Dipetakan langsung dari kolom `time` yang diekstrak melalui filter GROK dan JSON. Dikonversi menjadi objek stempel waktu.
`username`	`target.user.userid`	Dipetakan langsung dari kolom `username` yang diekstrak melalui GROK.
	`metadata.log_type`	Di-hardcode ke `JUNIPER_FIREWALL`. Di-hardcode ke `JUNIPER_FIREWALL` atau `NetScreen` berdasarkan kolom `type`. Di-hardcode ke `JUNIPER_FIREWALL`. Tetapkan ke ALLOW atau BLOCK berdasarkan logika dalam parser. Tetapkan ke RENDAH, SEDANG, TINGGI, INFORMASI, atau KRITIS berdasarkan kolom `subtype` dan `severity_details`.

Perubahan

2025-02-20

Peningkatan:

Mengubah pemetaan target.user.userid menjadi additional.fields saat user_value dimulai dengan RT_FLOW.

2025-02-06

Peningkatan:

Jika user_value adalah UI_LOGIN_EVENT, petakan ke additional.fields.

2025-01-15

Peningkatan:

Jika user_name memiliki RT_FLOW_SESSION_DENY, petakan ke security_result.action sebagai BLOCK, jika tidak, ubah pemetaan user_name dari target.user.userid menjadi security_result.summary.
Memetakan sec_desc ke security_result.description.

2024-10-31

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log yang tidak diuraikan.
Memetakan processid ke target.process.id
Memetakan TSr dan TSi ke additional.fields.
Menambahkan fungsi gsub untuk memetakan Remote-IP ke target.ip.
Menambahkan fungsi gsub untuk memetakan TSi dan Local_IKE_ID ke additional.fields.
Menambahkan filter KV ke kv_data1 untuk mengurai kolom yang tidak diuraikan.

2024-10-30

Peningkatan:

Menambahkan pola Grok baru untuk mengurai pola log baru.
Memetakan fw ke intermediary.ip.
Memetakan msg1 ke security_result.summary.
Memetakan desc ke metadata.description.

2024-10-24

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log dalam format SYSLOG+KV baru.
Memetakan local_ip ke principal.ip dan principal.assest.ip.
Memetakan remote_ip ke target.ip dan target.asset.ip.

2024-10-11

Peningkatan:

Memetakan hostn ke principal.hostname.
Memetakan app ke principal.application.
Memetakan pid ke principal.process.pid.
Memetakan event_title ke metadata.product_event_type.
Memetakan event_message ke metadata.description.
Memetakan Local-ip ke principal.ip dan principal.asset.ip.
Memetakan Gateway_Name, vpn, tunnel_id, tunnel_if, Local_IKE_ID, Remote_IKE_ID, AAA_username, VR_id, Traffic_selector, Traffic_selector_Remote_ID, Traffic_selector_local_ID, SA_Type, Reason, threshold, time-period, dan error-message_data ke observer.resource.attribute.labels.
Memetakan target_ip ke target.ip dan target.asset.ip.
Memetakan data ke target.ip dan target.asset.ip.

2024-06-28

Peningkatan:

Mengubah pola Grok untuk mengurai log yang tidak diuraikan.
Menambahkan pola Grok di kolom msg_data untuk mengekstrak kolom user_id, principal_host, file_path, pid_2, dan server_ip.
Memetakan principal_host ke principal.hostname.
Memetakan user_id ke target.user.userid.
Memetakan file_path ke target.file.full_path.
Memetakan pid_2 ke target.process.pid.
Memetakan server_ip ke target.ip.
Memetakan event_time ke metadata.event_timestamp dengan benar dengan menghapus rebase jika tahun ada.

2024-01-22

Perbaikan bug:

Menambahkan pola Grok baru untuk mengurai kolom message dengan data nilai kunci.
Memetakan ACTION ke security_result.action_details.
Memetakan SESSION_ID ke network.session_id.
Memetakan APPLICATION ke principal.application.
Memetakan pingCtlOwnerIndex, pingCtlTestName, usp_lsys_max_num_rpd, usp_lsys_max_num, urlcategory_risk, application_sub_category, source-zone, destination-zone, NESTED-APPLICATION, CATEGORY, REASON, PROFILE, source_rule, retrans_timer, dan arp_unicast_mode ke additional.fields.
Memetakan time ke metadata.event_timestamp.

2023-12-31

Perbaikan bug:

Menambahkan dukungan untuk pola log JSON baru.
Memetakan time ke metadata.event_timestamp.
Memetakan host ke principal.hostname.
Memetakan ident ke target.application.
Memetakan pid ke target.process.pid.
Menambahkan pola Grok untuk mengurai kolom message.

2023-12-15

Peningkatan:

Memetakan internal-protocol ke network.ip_protocol .
Memetakan state ke security_result.detection_fields.
Memetakan internal-ip ke principal.ip.
Memetakan reflexive-ip ke target.ip.
Memetakan internal-port ke principle.port.
Memetakan reflexive-port ke target.port.
Memetakan local-address ke principal.ip.
Memetakan remote-address ke target.ip.
Menambahkan filter KV dengan sumber sebagai task_summary.
Memetakan dns-server-address ke principal.ip.
Memetakan domain-name ke principal.administrative_domain.
Memetakan argument1 ke network.direction.
Memetakan state ke security_result.detection_fields.
Memetakan test-owner ke additional.fields.
Memetakan local-initiator ke additional.fields.
Memetakan test-name ke additional.fields.
Memetakan SPI ke additional.fields.
Memetakan AUX-SPI ke additional.fields.
Memetakan Type ke additional.fields.
Memetakan error-message ke security_result.summary.

2023-11-02

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log format SYSLOG+KV baru.

2023-08-24

Peningkatan:

Menambahkan fungsi gsub untuk menghapus karakter khusus.

2023-08-02

Peningkatan:

Mengubah pola Grok untuk mendukung format log baru untuk jenis NetScreen.
Menambahkan dukungan untuk jenis RT_FLOW_SESSION_CREATE_LS, RT_FLOW_SESSION_CLOSE_LS, dan RT_FLOW_SESSION_DENY_LS.
Memetakan sent ke network.sent_bytes.
Memetakan rcvd ke network.received_bytes.

2023-05-05

Peningkatan:

Memetakan rule-name ke security_result.rule_id.
Memetakan rulebase-name ke security_result.detection_fields.
Memetakan export-id ke security_result.detection_fields.
Memetakan repeat-count ke security_result.detection_fields.
Memetakan packet-log-id ke security_result.detection_fields.
Memetakan alert ke is_alert saat nilainya yes.
Memetakan outbound-packets ke network.sent_packets.
Memetakan inbound-packets ke network.received_packets.
Memetakan outbound-bytes ke network.sent_bytes.
Memetakan inbound-bytes ke network.received_bytes.

2023-03-08

Peningkatan:

Memetakan application ke target.application.
Memetakan reason ke security_result.description.
Memetakan application-characteristics ke security_result.summary.
Memetakan application-risk ke security_result.severity_details.
Memetakan application-category ke security_result.detection_fields.
Memetakan application-sub-category ke security_result.detection_fields.
Memetakan dst-nat-rule-name ke security_result.detection_fields.
Memetakan dst-nat-rule-type ke security_result.detection_fields.
Memetakan src-nat-rule-name ke security_result.detection_fields.
Memetakan src-nat-rule-type ke security_result.detection_fields.
Memetakan encrypted ke security_result.detection_fields.
Memetakan nested-application ke security_result.detection_fields.
Memetakan packet-incoming-interface ke security_result.detection_fields.
Memetakan session-id-32 ke network.session_id.
Memetakan packets-from-client ke network.sent_packets.
Memetakan packets-from-server ke network.received_packets.
Memetakan bytes-from-client ke network.sent_bytes.
Memetakan bytes-from-server ke network.received_bytes.
Memetakan elapsed-time ke network.session_duration.seconds.
Memetakan nat-destination-address ke target.nat_ip.
Memetakan nat-destination-port ke target.nat_port.
Memetakan source-destination-address ke principal.nat_ip.
Memetakan source-destination-port ke principal.nat_port.

2023-01-18

Perbaikan bug:

Membuat kondisi tidak peka huruf besar/kecil untuk memetakan BLOCK ke security_result.action, jika action adalah drop/DROP.
Memetakan msg_data ke security_result.description jika no_app_name salah.
Memetakan threat-severity ke security_result.severity.
Memetakan kolom message ke metadata.description.
Memetakan app_name ke target.application.
Memetakan pid ke target.process.pid.
Memetakan desc ke metadata.description.
Memetakan username ke principal.user.userid.
Memetakan command ke target.process.command_line.
Memetakan action ke security_result.action_details.
Memetakan sec_description ke security_result.description.
Memetakan application-name ke network.application_protocol.

2023-01-15

Peningkatan:

Mengubah pola Grok untuk mendukung log yang tidak diuraikan yang berisi jenis UI_CMDLINE_READ_LINE, UI_COMMIT_PROGRESS, UI_CHILD_START, UI_CFG_AUDIT_OTHER, UI_LOGIN_EVENT, UI_CHILD_STATUS, UI_LOGOUT_EVENT, UI_LOAD_EVENT, JTASK_IO_CONNECT_FAILED, UI_AUTH_EVENT, UI_NETCONF_CMD, UI_COMMIT_NO_MASTER_PASSWORD, UI_CFG_AUDIT_SET, UI_JUNOSCRIPT_CMD, SNMPD_AUTH_FAILURE, UI_CFG_AUDIT_NEW, UI_COMMIT , LIBJNX_LOGIN_ACCOUNT_LOCKED, UI_COMMIT_COMPLETED, PAM_USER_LOCK_LOGIN_REQUESTS_DENIED, RTPERF_CPU_USAGE_OK, RTPERF_CPU_THRESHOLD_EXCEEDED, LIBJNX_LOGIN_ACCOUNT_UNLOCKED, JSRPD_SET_OTHER_INTF_MON_FAIL, JSRPD_SET_SCHED_MON_FAILURE, UI_CHILD_WAITPID, UI_DBASE_LOGIN_EVENT.

2022-11-07

Peningkatan:

Memetakan subtype ke metadata.product_event_type.
Memetakan attack-name ke security_result.threat_name.
Memetakan policy-name ke security_result.rule_name.
Memetakan action ke security_result.action, dengan nilai drop dipetakan ke BLOKIR yang lain ke IZINKAN.
Memetakan source-interface-name ke security_result.detection_fields.
Memetakan destination-interface-name ke security_result.detection_fields.
Memetakan source-zone-name ke security_result.detection_fields.
Memetakan destination-zone-name ke security_result.detection_fields.
Memetakan service-name ke security_result.detection_fields.
Memetakan application-name ke security_result.detection_fields.
metadata.product_name yang dipetakan
metadata.vendor_name yang dipetakan

2022-10-04

Peningkatan:

Memetakan nama serangan ke security_result.rule_name.
Pemetaan SDM yang dikonversi ke kolom UDM berikut:-
Memetakan source-address ke principal.ip.
Memetakan destination-address ke target.ip.
Memetakan source-port ke principal.port.
Memetakan host ke principal.hostname.
Memetakan bytes-from-server ke network.received_bytes.
Memetakan policy-name ke security_result.rule_name.
Memetakan protocol-id ke network.ip_protocol.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.