Collecter les journaux Netgate pfSense

Compatible avec :

Ce document explique comment collecter les journaux Netgate pfSense à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PFSENSE.

Configurer Netgate pfSense

  1. Connectez-vous à l'interface pfSense avec des identifiants d'administrateur.
  2. Dans les paramètres Journal global, procédez comme suit :
    1. Sélectionnez État > Journaux système > Paramètres.
    2. Dans l'onglet Paramètres, sélectionnez Options générales de journalisation, puis procédez comme suit :
      1. Dans le champ Format du message de journal, sélectionnez syslog (RFC 5424, avec des codes temporels RFC 3339 précis à la microseconde).
      2. Dans le champ Enregistrer les blocages par défaut du pare-feu, cochez les cases suivantes :
        • Enregistrer les paquets correspondant aux règles de blocage par défaut dans l'ensemble de règles
        • Paquet de journaux correspondant aux règles d'acceptation par défaut définies dans l'ensemble de règles
        • Consigner les paquets bloqués par les règles "Bloquer les réseaux bogon"
        • Consigner les paquets bloqués par les règles "Bloquer les réseaux privés"
  3. Pour enregistrer les nouveaux paramètres, cliquez sur Enregistrer.

Envoyer les journaux du pare-feu à Google SecOps

  1. Dans les paramètres Journal global, sélectionnez État > Journaux système > Paramètres.
  2. Dans l'onglet Paramètres, sélectionnez Options de journalisation à distance, puis procédez comme suit :
    • Dans le champ Activer la journalisation à distance, cochez la case Envoyer les messages du journal au serveur syslog distant.
    • Dans le champ Adresse source, conservez la valeur par défaut Tout.
    • Dans le champ Protocole IP, si l'adresse source est sélectionnée comme valeur par défaut, vous n'avez pas besoin de spécifier l'adresse IP. Sinon, saisissez l'adresse IP.
    • Dans Serveurs de journaux à distance, spécifiez l'adresse IP du redirecteur Google SecOps.
    • Dans Contenu Syslog distant, cochez la case Événements de pare-feu.
  3. Pour enregistrer les modifications, cliquez sur Enregistrer.

Configurer le redirecteur Google SecOps pour ingérer les journaux Netgate pfSense

  1. Sélectionnez Paramètres SIEM > Transmetteurs.
  2. Cliquez sur Ajouter un nouveau transfert.
  3. Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
  4. Cliquez sur Envoyer, puis sur Confirmer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  6. Sélectionnez pfSense comme type de journal.
  7. Dans le champ Type de collecteur, sélectionnez Syslog.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole : spécifiez le protocole de connexion que le collecteur utilise pour écouter les données syslog.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations de répartiteurs dans l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google SecOps.

Référence du mappage de champs

Ce parseur de pare-feu pfSense extrait les champs des messages syslog à l'aide de modèles grok, en gérant différents formats de journaux, y compris les événements DHCP et de pare-feu. Il mappe ensuite ces champs extraits à l'UDM, en enrichissant les données avec des informations contextuelles telles que les adresses IP, les adresses MAC, les noms d'utilisateur et les détails du réseau.

Table de mappage UDM

Champ de journal Mappage UDM Logique
application principal.application La valeur est extraite du message de journal à l'aide de modèles Grok. Pour les messages syslog, le nom de l'application se trouve généralement après le nom d'hôte et le code temporel.
commande principal.process.command_line Extrait du champ de description lorsque le journal indique une exécution de commande.
description metadata.description Le champ de description est mappé à la description des métadonnées UDM, à l'exception des journaux d'application syslog-ng, où il est mappé à metadata.description. Pour les événements DHCP, dhcp_type est ajouté au début de la description.
dhcp_type metadata.product_event_type Type de message DHCP (par exemple, DHCPDISCOVER, DHCPOFFER) est extrait et mappé.
hôte intermediary.hostname OU intermediary.ip Si la valeur de l'hôte est une adresse IP valide, elle est mappée sur intermediary.ip. Sinon, il est mappé sur intermediary.hostname.
hôte principal.hostname, principal.asset.hostname En l'absence d'adresse IP principale, l'hôte est traité comme le nom d'hôte principal.
mac principal.mac, network.dhcp.chaddr L'adresse MAC associée à une requête DHCP est extraite et mappée.
src_ip principal.ip, principal.asset.ip Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
src_mac principal.mac Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
dst_mac target.mac Extraites de formats de journaux spécifiques à l'aide d'un modèle Grok.
timestamp metadata.event_timestamp L'horodatage est extrait du message de journal et converti au format UDM. Les informations sur le fuseau horaire (tz) sont ajoutées au code temporel avant la conversion, si elles sont disponibles.
timestamp_no_year metadata.event_timestamp Si un code temporel sans année est présent, il est analysé et l'année en cours est ajoutée lors du processus d'analyse.
utilisateur principal.user.userid Le nom d'utilisateur associé à un événement est extrait et mappé.
column1 security_result.rule_id Mappée à partir de la première colonne CSV si la description est au format CSV.
column6 security_result.rule_type Mappée à partir de la sixième colonne du fichier CSV si la description est au format CSV.
column7 security_result.action Mappée à partir de la septième colonne du fichier CSV si la description est au format CSV. Converti en "BLOCK" (BLOQUER) ou "ALLOW" (AUTORISER).
column8 network.direction Mappé à partir de la huitième colonne CSV si la description est au format CSV. Converti en "INBOUND" ou "OUTBOUND".
column13 network.ip_protocol (si UDP ou ICMP) Mappé à partir de la treizième colonne du fichier CSV si la description est au format CSV et que le protocole est UDP ou ICMP. Pour les événements TCP/UDP, il est utilisé pour créer un champ supplémentaire avec la clé "Id".
column16 principal.ip, principal.asset.ip (si IPv6 et que la colonne 9 est définie sur 6) Mappé à partir de la seizième colonne CSV si la description est au format CSV et que la colonne 9 est définie sur 6. Pour les événements TCP/UDP, il est utilisé pour l'identification du protocole si la colonne 9 est définie sur 4.
column17 target.ip, target.asset.ip (si IPv6 et non ip_failure) Mappé à partir de la dix-septième colonne CSV si la description est au format CSV, que la colonne9 est définie sur 6 et que la valeur est une adresse IP valide. Pour les événements TCP/UDP, il est utilisé pour identifier le protocole.
column18 principal.port (si UDP) Mappé à partir de la dix-huitième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements TCP/UDP, il est mappé sur network.received_bytes.
column19 target.port (si UDP) Mappé à partir de la dix-neuvième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements DHCP, il est mappé sur network.dhcp.yiaddr. Pour les autres événements, il est mappé sur principal.ip, principal.asset.ip.
column20 additional.fields (clé : "data_length") (si UDP) Mappé à partir de la vingtième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les autres événements, il est mappé sur target.ip, target.asset.ip.
column21 principal.port (si TCP/UDP) Mappé à partir de la 21e colonne du fichier CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column22 target.port (si TCP/UDP) Mappé à partir de la 22e colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column23 additional.fields (clé : "data_length") (si TCP/UDP) Mappé à partir de la 23e colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column24 additional.fields (clé : "tcp_flags") (si TCP) Mappé à partir de la 24e colonne du fichier CSV si la description est au format CSV et que le protocole est TCP.
column25 additional.fields (clé : "sequence_number") (si TCP/UDP) Mappé à partir de la 25e colonne du fichier CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column29 additional.fields (clé : "tcp_options") (si TCP) Mappé à partir de la 29e colonne CSV si la description est au format CSV et que le protocole est TCP.
compression_algo additional.fields (clé : "Compression Algorithm") Extraites du champ de description et ajoutées en tant que champ supplémentaire.
décroiss. metadata.description Extrait du champ "Message" et utilisé comme description.
principal_ip principal.ip, principal.asset.ip Extrait du champ de description et représente l'adresse IP principale.
principal_username principal.user.userid Extrait du champ de description et représente le nom d'utilisateur principal.
état security_result.detection_fields (clé : "status") Extrait du champ de description et ajouté en tant que champ de détection dans le résultat de sécurité.
target_host target.hostname, target.asset.hostname Extrait du champ de description et représente le nom d'hôte cible.
src_port principal.port Extrait du champ de description et représente le port source. Déterminé en fonction de divers champs de journaux et de la logique de l'analyseur. Il peut s'agir de "NETWORK_CONNECTION", "NETWORK_DHCP", "STATUS_UPDATE" ou "GENERIC_EVENT". Codé en dur sur "PFSENSE". Codé en dur sur "PFSENSE". Codé en dur sur "PFSENSE". Définissez la valeur sur "DHCP" pour les événements DHCP. Définissez la valeur sur "BOOTREQUEST" pour DHCPDISCOVER et DHCPREQUEST, et sur "BOOTREPLY" pour DHCPOFFER et DHCPACK. Définissez la valeur sur "DISCOVER", "REQUEST", "OFFER" ou "ACK" en fonction du champ dhcp_type.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.