收集 Juniper NetScreen 防火墙日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何设置 Juniper NetScreen Firewall 日志以将其发送到 Google 安全运维团队。解析器使用 Grok 模式提取字段,处理各种 syslog 格式和 JSON 载荷。然后,它会将这些提取的字段映射到 UDM,并根据 IP 地址、用户名和端口等特定字段的存在情况将事件分类为网络连接、用户登录、状态更新或通用事件。
准备工作
- 确保您拥有 Juniper NetScreen 防火墙的管理员访问权限。
- 确保您有一个 Google Security Operations 实例。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: juniper_firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Juniper Networks NetScreen 防火墙
- 登录 Juniper NetScreen 网页界面。
- 依次选择配置 > 报告设置 > 日志设置。
- 选中所有事件严重程度复选框。
- 点击应用。
- 依次选择配置 > 报告设置 > Syslog。
- 选中启用 syslog 消息复选框。
- 在 Source interface(来源接口)列表中,选择需要从中发送 syslog 数据包的 NetScreen 接口。
- 在 Syslog 服务器部分,选中启用复选框,然后提供以下信息:
- IP 地址/主机名:输入
BindplaneIP 地址。 - 端口:输入
Bindplane端口号。 - MDR 设施:选择 Local0 设施级别。
- 设施:选择 Local0 设施级别。
- IP 地址/主机名:输入
- 点击应用。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
ACTION |
security_result.action_details |
直接从通过 GROK 和 KV 过滤器提取的 ACTION 字段映射而来。 |
APPLICATION |
principal.application |
直接从通过 GROK 和 KV 过滤器提取的 APPLICATION 字段映射而来。 |
application |
target.application |
直接从通过 GROK 提取的 application 字段映射而来。 |
attack-name |
security_result.threat_name |
直接从通过 GROK 提取的 attack-name 字段映射而来。 |
bytes-from-client |
network.sent_bytes |
直接从通过 GROK 提取的 bytes-from-client 字段映射而来。 |
bytes-from-server |
network.received_bytes |
直接从通过 GROK 提取的 bytes-from-server 字段映射而来。 |
command |
target.process.command_line |
直接从通过 GROK 提取的 command 字段映射而来。 |
destination-address |
target.ip |
直接从通过 GROK 提取的 destination-address 字段映射而来。 |
destination-port |
target.port |
直接从通过 GROK 提取的 destination-port 字段映射而来。 |
destination-zone |
additional.fields[].value.string_value |
直接从通过 GROK 和 KV 过滤器提取的 destination-zone 字段映射而来。将 key 设置为 destination-zone。 |
destination_zone-name |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 destination_zone-name 字段映射而来。将 key 设置为 dstzone。 |
dst-nat-rule-name |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 dst-nat-rule-name 字段映射而来。将 key 设置为 dst-nat-rule-name。 |
dst-nat-rule-type |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 dst-nat-rule-type 字段映射而来。将 key 设置为 dst-nat-rule-type。 |
elapsed-time |
network.session_duration.seconds |
直接从通过 GROK 提取的 elapsed-time 字段映射而来。 |
encrypted |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 encrypted 字段映射而来。将 key 设置为 encrypted。 |
event_time |
metadata.event_timestamp |
系统会使用各种 GROK 模式从原始日志中提取时间戳,优先级依次为 event_time、TIMESTAMP_ISO8601 和 SYSLOGTIMESTAMP。然后,它会转换为时间戳对象。 |
host |
principal.hostname,intermediary.hostname |
如果 type 为 NetScreen,则映射到 intermediary.hostname。否则,映射到 principal.hostname。 |
host_ip |
intermediary.ip |
直接从通过 GROK 提取的 host_ip 字段映射而来。 |
icmp-type |
network.icmp_type |
直接从通过 GROK 提取的 icmp-type 字段映射而来。 |
ident |
target.application |
直接从通过 GROK 和 JSON 过滤器提取的 ident 字段映射而来。 |
inbound-bytes |
network.received_bytes |
直接从通过 GROK 提取的 inbound-bytes 字段映射而来。 |
inbound-packets |
network.received_packets |
直接从通过 GROK 提取的 inbound-packets 字段映射而来。 |
ip |
principal.ip,intermediary.ip |
如果 type 为 NetScreen,则映射到 intermediary.ip。否则,映射到 principal.hostname。 |
message |
security_result.description |
如果消息是 JSON 格式且不存在 log_message_data 字段,则系统会将 message 字段用作说明。 |
msg_data |
security_result.summary |
直接从通过 GROK 提取的 msg_data 字段映射而来。 |
nat-destination-address |
target.nat_ip |
直接从通过 GROK 提取的 nat-destination-address 字段映射而来。 |
nat-destination-port |
target.nat_port |
直接从通过 GROK 提取的 nat-destination-port 字段映射而来。 |
nat-source-address |
principal.nat_ip |
直接从通过 GROK 提取的 nat-source-address 字段映射而来。 |
nat-source-port |
principal.nat_port |
直接从通过 GROK 提取的 nat-source-port 字段映射而来。 |
outbound-bytes |
network.sent_bytes |
直接从通过 GROK 提取的 outbound-bytes 字段映射而来。 |
outbound-packets |
network.sent_packets |
直接从通过 GROK 提取的 outbound-packets 字段映射而来。 |
packets-from-client |
network.sent_packets |
直接从通过 GROK 提取的 packets-from-client 字段映射而来。 |
packets-from-server |
network.received_packets |
直接从通过 GROK 提取的 packets-from-server 字段映射而来。 |
packet-incoming-interface |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 packet-incoming-interface 字段映射而来。将 key 设置为 packet-incoming-interface。 |
pid |
target.process.pid |
直接从通过 GROK 和 JSON 过滤器提取的 pid 字段映射而来。 |
policy-name |
security_result.rule_name |
直接从通过 GROK 提取的 policy-name 字段映射而来。 |
PROFILE |
additional.fields[].value.string_value |
直接从通过 GROK 和 KV 过滤器提取的 PROFILE 字段映射而来。将 key 设置为 PROFILE。 |
protocol-id,protocol-name |
network.ip_protocol |
从通过 GROK 提取的 protocol-id 或 protocol-name 字段映射而来。该值会转换为相应的 IP 协议枚举。 |
REASON |
additional.fields[].value.string_value |
直接从通过 GROK 和 KV 过滤器提取的 REASON 字段映射而来。将 key 设置为 REASON。 |
reason |
security_result.description |
直接从通过 GROK 提取的 reason 字段映射而来。 |
rule-name |
security_result.rule_name |
直接从通过 GROK 提取的 rule-name 字段映射而来。 |
SESSION_ID |
network.session_id |
直接从通过 GROK 和 KV 过滤器提取的 SESSION_ID 字段映射而来。 |
service-name |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 service-name 字段映射而来。将 key 设置为 srvname。 |
source-address |
principal.ip |
直接从通过 GROK 提取的 source-address 字段映射而来。 |
source-port |
principal.port |
直接从通过 GROK 提取的 source-port 字段映射而来。 |
source-zone |
additional.fields[].value.string_value |
直接从通过 GROK 和 KV 过滤器提取的 source-zone 字段映射而来。将 key 设置为 source-zone。 |
source_zone-name |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 source_zone-name 字段映射而来。将 key 设置为 srczone。 |
src-nat-rule-name |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 src-nat-rule-name 字段映射而来。将 key 设置为 src-nat-rule-name。 |
src-nat-rule-type |
security_result.detection_fields[].value |
直接从通过 GROK 提取的 src-nat-rule-type 字段映射而来。将 key 设置为 src-nat-rule-type。 |
subtype |
metadata.product_event_type |
直接从通过 GROK 提取的 subtype 字段映射而来。 |
threat-severity |
security_result.severity_details |
直接从通过 GROK 提取的 threat-severity 字段映射而来。 |
time |
metadata.event_timestamp |
直接从通过 GROK 和 JSON 过滤器提取的 time 字段映射而来。已转换为时间戳对象。 |
username |
target.user.userid |
直接从通过 GROK 提取的 username 字段映射而来。 |
metadata.log_type |
已硬编码为 JUNIPER_FIREWALL。根据 type 字段硬编码为 JUNIPER_FIREWALL 或 NetScreen。已硬编码为 JUNIPER_FIREWALL。根据解析器中的逻辑设置为 ALLOW 或 BLOCK。根据 subtype 和 severity_details 字段设置为“低”“中”“高”“信息”或“严重”。 |
变化
2025-02-20
增强功能:
- 修改了当
user_value以RT_FLOW开头时target.user.userid到additional.fields的映射。
2025-02-06
增强功能:
- 如果
user_value为UI_LOGIN_EVENT,请将其映射到additional.fields。
2025-01-15
增强功能:
- 如果
user_name包含RT_FLOW_SESSION_DENY,请将其作为BLOCK映射到security_result.action;否则,将user_name的映射从target.user.userid更改为security_result.summary。 - 将
sec_desc映射到security_result.description。
2024-10-31
增强功能:
- 添加了新的 Grok 模式来解析未解析的日志。
- 将
processid映射到target.process.id - 将
TSr和TSi映射到additional.fields。 - 添加了
gsub函数,用于将Remote-IP映射到target.ip。 - 添加了
gsub函数,以将TSi和Local_IKE_ID映射到additional.fields。 - 向
kv_data1添加了 KV 过滤器,以解析未解析的字段。
2024-10-30
增强功能:
- 添加了新的 Grok 模式来解析新的日志模式。
- 将
fw映射到intermediary.ip。 - 将
msg1映射到security_result.summary。 - 将
desc映射到metadata.description。
2024-10-24
增强功能:
- 添加了新的 Grok 模式,用于解析采用新 SYSLOG+KV 格式的日志。
- 将
local_ip映射到principal.ip和principal.assest.ip。 - 将
remote_ip映射到target.ip和target.asset.ip。
2024-10-11
增强功能:
- 将
hostn映射到principal.hostname。 - 将
app映射到principal.application。 - 将
pid映射到principal.process.pid。 - 将
event_title映射到metadata.product_event_type。 - 将
event_message映射到metadata.description。 - 将
Local-ip映射到principal.ip和principal.asset.ip。 - 将
Gateway_Name、vpn、tunnel_id、tunnel_if、Local_IKE_ID、Remote_IKE_ID、AAA_username、VR_id、Traffic_selector、Traffic_selector_Remote_ID、Traffic_selector_local_ID、SA_Type、Reason、threshold、time-period和error-message_data映射到observer.resource.attribute.labels。 - 将
target_ip映射到target.ip和target.asset.ip。 - 将
data映射到target.ip和target.asset.ip。
2024-06-28
增强功能:
- 修改了 Grok 模式,以解析未解析的日志。
- 在字段
msg_data上添加了 Grok 模式,以提取字段user_id、principal_host、file_path、pid_2和server_ip。 - 将
principal_host映射到principal.hostname。 - 将
user_id映射到target.user.userid。 - 将
file_path映射到target.file.full_path。 - 将
pid_2映射到target.process.pid。 - 将
server_ip映射到target.ip。 - 通过移除年份(如果存在)正确地将
event_time映射到metadata.event_timestamp。rebase
2024-01-22
bug 修复:
- 添加了新的 Grok 模式,用于解析包含键值对数据的
message字段。 - 将
ACTION映射到security_result.action_details。 - 将
SESSION_ID映射到network.session_id。 - 将
APPLICATION映射到principal.application。 - 将
pingCtlOwnerIndex、pingCtlTestName、usp_lsys_max_num_rpd、usp_lsys_max_num、urlcategory_risk、application_sub_category、source-zone、destination-zone、NESTED-APPLICATION、CATEGORY、REASON、PROFILE、source_rule、retrans_timer和arp_unicast_mode映射到additional.fields。 - 将
time映射到metadata.event_timestamp。
2023-12-31
bug 修复:
- 添加了对新 JSON 日志模式的支持。
- 将
time映射到metadata.event_timestamp。 - 将
host映射到principal.hostname。 - 将
ident映射到target.application。 - 将
pid映射到target.process.pid。 - 添加了 Grok 模式来解析
message字段。
2023-12-15
增强功能:
- 将
internal-protocol映射到network.ip_protocol。 - 将
state映射到security_result.detection_fields。 - 将
internal-ip映射到principal.ip。 - 将
reflexive-ip映射到target.ip。 - 将
internal-port映射到principle.port。 - 将
reflexive-port映射到target.port。 - 将
local-address映射到principal.ip。 - 将
remote-address映射到target.ip。 - 添加了来源为
task_summary的 KV 过滤条件。 - 将
dns-server-address映射到principal.ip。 - 将
domain-name映射到principal.administrative_domain。 - 将
argument1映射到network.direction。 - 将
state映射到security_result.detection_fields。 - 将
test-owner映射到additional.fields。 - 将
local-initiator映射到additional.fields。 - 将
test-name映射到additional.fields。 - 将
SPI映射到additional.fields。 - 将
AUX-SPI映射到additional.fields。 - 将
Type映射到additional.fields。 - 将
error-message映射到security_result.summary。
2023-11-02
增强功能:
- 添加了新的 Grok 模式,用于解析新
SYSLOG+KV格式的日志。
2023-08-24
增强功能:
- 添加了 gsub 函数,用于移除特殊字符。
2023-08-02
增强功能:
- 修改了 Grok 模式,以支持 NetScreen 类型的新日志格式。
- 添加了对类型
RT_FLOW_SESSION_CREATE_LS、RT_FLOW_SESSION_CLOSE_LS和RT_FLOW_SESSION_DENY_LS的支持。 - 将
sent映射到network.sent_bytes。 - 将
rcvd映射到network.received_bytes。
2023-05-05
增强功能:
- 将
rule-name映射到security_result.rule_id。 - 将
rulebase-name映射到security_result.detection_fields。 - 将
export-id映射到security_result.detection_fields。 - 将
repeat-count映射到security_result.detection_fields。 - 将
packet-log-id映射到security_result.detection_fields。 - 将
alert映射到is_alert(当值为yes时)。 - 将
outbound-packets映射到network.sent_packets。 - 将
inbound-packets映射到network.received_packets。 - 将
outbound-bytes映射到network.sent_bytes。 - 将
inbound-bytes映射到network.received_bytes。
2023-03-08
增强功能:
- 将
application映射到target.application。 - 将
reason映射到security_result.description。 - 将
application-characteristics映射到security_result.summary。 - 将
application-risk映射到security_result.severity_details。 - 将
application-category映射到security_result.detection_fields。 - 将
application-sub-category映射到security_result.detection_fields。 - 将
dst-nat-rule-name映射到security_result.detection_fields。 - 将
dst-nat-rule-type映射到security_result.detection_fields。 - 将
src-nat-rule-name映射到security_result.detection_fields。 - 将
src-nat-rule-type映射到security_result.detection_fields。 - 将
encrypted映射到security_result.detection_fields。 - 将
nested-application映射到security_result.detection_fields。 - 将
packet-incoming-interface映射到security_result.detection_fields。 - 将
session-id-32映射到network.session_id。 - 将
packets-from-client映射到network.sent_packets。 - 将
packets-from-server映射到network.received_packets。 - 将
bytes-from-client映射到network.sent_bytes。 - 将
bytes-from-server映射到network.received_bytes。 - 将
elapsed-time映射到network.session_duration.seconds。 - 将
nat-destination-address映射到target.nat_ip。 - 将
nat-destination-port映射到target.nat_port。 - 将
source-destination-address映射到principal.nat_ip。 - 将
source-destination-port映射到principal.nat_port。
2023-01-18
bug 修复:
- 使条件不区分大小写,以便在
action为drop/DROP时将BLOCK映射到security_result.action。 - 当
no_app_name为 false 时,将msg_data映射到security_result.description。 - 将
threat-severity映射到security_result.severity。 - 将
message字段映射到metadata.description。 - 将
app_name映射到target.application。 - 将
pid映射到target.process.pid。 - 将
desc映射到metadata.description。 - 将
username映射到principal.user.userid。 - 将
command映射到target.process.command_line。 - 将
action映射到security_result.action_details。 - 将
sec_description映射到security_result.description。 - 将
application-name映射到network.application_protocol。
2023-01-15
增强功能:
- 修改了 Grok 模式,以支持包含类型
UI_CMDLINE_READ_LINE、UI_COMMIT_PROGRESS、UI_CHILD_START、UI_CFG_AUDIT_OTHER、UI_LOGIN_EVENT、UI_CHILD_STATUS、UI_LOGOUT_EVENT、UI_LOAD_EVENT、JTASK_IO_CONNECT_FAILED、UI_AUTH_EVENT、UI_NETCONF_CMD、UI_COMMIT_NO_MASTER_PASSWORD、UI_CFG_AUDIT_SET、UI_JUNOSCRIPT_CMD、SNMPD_AUTH_FAILURE、UI_CFG_AUDIT_NEW、UI_COMMIT、LIBJNX_LOGIN_ACCOUNT_LOCKED、UI_COMMIT_COMPLETED、PAM_USER_LOCK_LOGIN_REQUESTS_DENIED、RTPERF_CPU_USAGE_OK、RTPERF_CPU_THRESHOLD_EXCEEDED、LIBJNX_LOGIN_ACCOUNT_UNLOCKED、JSRPD_SET_OTHER_INTF_MON_FAIL、JSRPD_SET_SCHED_MON_FAILURE、UI_CHILD_WAITPID、UI_DBASE_LOGIN_EVENT的未解析日志。
2022-11-07
增强功能:
- 将
subtype映射到metadata.product_event_type。 - 将
attack-name映射到security_result.threat_name。 - 将
policy-name映射到security_result.rule_name。 - 将
action映射到security_result.action,其中值drop映射到“屏蔽”,其他值映射到“允许”。 - 将
source-interface-name映射到security_result.detection_fields。 - 将
destination-interface-name映射到security_result.detection_fields。 - 将
source-zone-name映射到security_result.detection_fields。 - 将
destination-zone-name映射到security_result.detection_fields。 - 将
service-name映射到security_result.detection_fields。 - 将
application-name映射到security_result.detection_fields。 - 已映射的
metadata.product_name - 已映射的
metadata.vendor_name
2022-10-04
增强功能:
- 将 attack-name 映射到 security_result.rule_name。
- 将 SDM 映射转换为 UDM 的以下字段:-
- 将
source-address映射到principal.ip。 - 将
destination-address映射到target.ip。 - 将
source-port映射到principal.port。 - 将
host映射到principal.hostname。 - 将
bytes-from-server映射到network.received_bytes。 - 将
policy-name映射到security_result.rule_name。 - 将
protocol-id映射到network.ip_protocol。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。