Mengumpulkan log Netgate pfSense
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log pfSense Netgate menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan
PFSENSE.
Mengonfigurasi Netgate pfSense
- Login ke antarmuka pfSense dengan kredensial administrator.
- Di setelan Log global, lakukan hal berikut:
- Pilih Status > Log sistem > Setelan.
- Pada tab Setelan, pilih Opsi logging umum, lalu lakukan hal berikut:
- Di kolom Log message format, pilih syslog (RFC 5424, dengan stempel waktu presisi mikrodetik RFC 3339).
- Di kolom Log firewall default blocks, centang kotak berikut:
- Mencatat paket yang cocok dari aturan pemblokiran default dalam set aturan
- Paket log yang cocok dari aturan lulus default yang dimasukkan dalam set aturan
- Mencatat paket yang diblokir oleh aturan 'Blokir jaringan bogon'
- Paket log yang diblokir oleh aturan 'Blokir jaringan pribadi'
- Untuk menyimpan setelan baru, klik Simpan.
Mengirim log firewall ke Google SecOps
- Di setelan Log global, pilih Status > Log sistem > Setelan.
- Di tab Setelan, pilih Opsi logging jarak jauh dan lakukan tindakan berikut:
- Di kolom Enable remote logging, centang kotak Send log messages to remote syslog server.
- Di kolom Source address, gunakan nilai default sebagai Any.
- Di kolom IP Protocol, jika alamat sumber dipilih sebagai nilai default, Anda tidak perlu menentukan alamat IP. Jika tidak, masukkan alamat IP.
- Di Remote log servers, tentukan alamat IP penerusan Google SecOps.
- Di Remote syslog contents, centang kotak Firewall events.
- Untuk menyimpan perubahan, klik Simpan.
Mengonfigurasi penerusan Google SecOps untuk memproses log Netgate pfSense
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Collector name, ketik nama unik untuk pengumpul.
- Pilih pfSense sebagai Jenis log.
- Di kolom Collector type, pilih Syslog.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google SecOps, lihat Mengelola konfigurasi penerus melalui UI Google SecOps.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan SecOps Google.
Referensi pemetaan kolom
Parser firewall pfSense ini mengekstrak kolom dari pesan syslog menggunakan pola grok, yang menangani berbagai format log termasuk peristiwa DHCP dan firewall. Kemudian, kolom yang diekstrak ini dipetakan ke UDM, sehingga memperkaya data dengan informasi kontekstual seperti alamat IP, alamat MAC, nama pengguna, dan detail jaringan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| application | principal.application |
Nilai diekstrak dari pesan log menggunakan pola grok. Untuk pesan syslog, nama aplikasi biasanya ditemukan setelah nama host dan stempel waktu. |
| perintah | principal.process.command_line |
Diekstrak dari kolom deskripsi saat log menunjukkan eksekusi perintah. |
| deskripsi | metadata.description |
Kolom deskripsi dipetakan ke deskripsi metadata UDM, kecuali untuk log aplikasi syslog-ng yang dipetakan ke metadata.description. Untuk peristiwa DHCP, dhcp_type ditambahkan ke deskripsi. |
| dhcp_type | metadata.product_event_type |
Jenis pesan DHCP (misalnya, DHCPDISCOVER, DHCPOFFER) diekstrak dan dipetakan. |
| host | intermediary.hostname ATAU intermediary.ip |
Jika nilai host adalah alamat IP yang valid, nilai tersebut dipetakan ke intermediary.ip. Jika tidak, nilai ini dipetakan ke intermediary.hostname. |
| host | principal.hostname, principal.asset.hostname |
Jika tidak ada IP utama, host akan diperlakukan sebagai nama host utama. |
| mac | principal.mac, network.dhcp.chaddr |
Alamat MAC yang terkait dengan permintaan DHCP diekstrak dan dipetakan. |
| src_ip | principal.ip, principal.asset.ip |
Diekstrak dari format log tertentu menggunakan pola grok. |
| src_mac | principal.mac |
Diekstrak dari format log tertentu menggunakan pola grok. |
| dst_mac | target.mac |
Diekstrak dari format log tertentu menggunakan pola grok. |
| timestamp | metadata.event_timestamp |
Stempel waktu diekstrak dari pesan log dan dikonversi ke format stempel waktu UDM. Informasi zona waktu (tz) ditambahkan ke stempel waktu sebelum konversi jika tersedia. |
| timestamp_no_year | metadata.event_timestamp |
Jika ada stempel waktu tanpa tahun, stempel waktu tersebut akan diuraikan, dan tahun saat ini akan ditambahkan selama proses penguraian. |
| pengguna | principal.user.userid |
Nama pengguna yang terkait dengan peristiwa diekstrak dan dipetakan. |
| kolom1 | security_result.rule_id |
Dipetakan dari kolom CSV pertama jika deskripsi dalam format CSV. |
| column6 | security_result.rule_type |
Dipetakan dari kolom CSV keenam jika deskripsi dalam format CSV. |
| column7 | security_result.action |
Dipetakan dari kolom CSV ketujuh jika deskripsi dalam format CSV. Dikonversi menjadi "BLOCK" atau "ALLOW". |
| column8 | network.direction |
Dipetakan dari kolom CSV kedelapan jika deskripsi dalam format CSV. Dikonversi menjadi "INBOUND" atau "OUTBOUND". |
| column13 | network.ip_protocol (jika UDP atau ICMP) |
Dipetakan dari kolom CSV ketiga belas jika deskripsi dalam format CSV dan protokolnya adalah UDP atau ICMP. Untuk peristiwa TCP/UDP, ID ini digunakan untuk membuat kolom tambahan dengan kunci "Id". |
| column16 | principal.ip, principal.asset.ip (jika IPv6 dan column9 adalah 6) |
Dipetakan dari kolom CSV keenam belas jika deskripsi dalam format CSV dan kolom9 adalah 6. Untuk peristiwa TCP/UDP, kolom ini digunakan untuk identifikasi protokol jika column9 adalah 4. |
| column17 | target.ip, target.asset.ip (jika IPv6 dan bukan ip_failure) |
Dipetakan dari kolom CSV ketujuh belas jika deskripsinya dalam format CSV, column9 adalah 6, dan nilainya adalah IP yang valid. Untuk peristiwa TCP/UDP, kolom ini digunakan untuk identifikasi protokol. |
| column18 | principal.port (jika UDP) |
Dipetakan dari kolom CSV kedelapan belas jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa TCP/UDP, peristiwa ini dipetakan ke network.received_bytes. |
| column19 | target.port (jika UDP) |
Dipetakan dari kolom CSV kesembilan belas jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa DHCP, kolom ini dipetakan ke network.dhcp.yiaddr. Untuk peristiwa lainnya, dipetakan ke principal.ip, principal.asset.ip. |
| column20 | additional.fields (kunci: "data_length") (jika UDP) |
Dipetakan dari kolom CSV kedua puluh jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa lainnya, dipetakan ke target.ip, target.asset.ip. |
| column21 | principal.port (jika TCP/UDP) |
Dipetakan dari kolom CSV kedua puluh satu jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP. |
| column22 | target.port (jika TCP/UDP) |
Dipetakan dari kolom CSV kedua puluh dua jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP. |
| column23 | additional.fields (kunci: "data_length") (jika TCP/UDP) |
Dipetakan dari kolom CSV kedua puluh tiga jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP. |
| column24 | additional.fields (key: "tcp_flags") (jika TCP) |
Dipetakan dari kolom CSV kedua puluh empat jika deskripsi dalam format CSV dan protokolnya adalah TCP. |
| column25 | additional.fields (kunci: "sequence_number") (jika TCP/UDP) |
Dipetakan dari kolom CSV kedua puluh lima jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP. |
| column29 | additional.fields (key: "tcp_options") (jika TCP) |
Dipetakan dari kolom CSV ke-29 jika deskripsi dalam format CSV dan protokolnya adalah TCP. |
| compression_algo | additional.fields (key: "Compression Algorithm") |
Diekstrak dari kolom deskripsi dan ditambahkan sebagai kolom tambahan. |
| menurun | metadata.description |
Diekstrak dari kolom pesan dan digunakan sebagai deskripsi. |
| principal_ip | principal.ip, principal.asset.ip |
Diekstrak dari kolom deskripsi dan merepresentasikan alamat IP utama. |
| principal_username | principal.user.userid |
Diekstrak dari kolom deskripsi dan merepresentasikan nama pengguna utama. |
| status | security_result.detection_fields (kunci: "status") |
Diekstrak dari kolom deskripsi dan ditambahkan sebagai kolom deteksi dalam hasil keamanan. |
| target_host | target.hostname, target.asset.hostname |
Diekstrak dari kolom deskripsi dan merepresentasikan nama host target. |
| src_port | principal.port |
Diekstrak dari kolom deskripsi dan merepresentasikan port sumber. Ditentukan berdasarkan berbagai kolom log dan logika parser. Dapat berupa NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE, atau GENERIC_EVENT. Dikodekan secara permanen ke "PFSENSE". Dikodekan secara permanen ke "PFSENSE". Dikodekan secara permanen ke "PFSENSE". Setel ke "DHCP" untuk peristiwa DHCP. Disetel ke "BOOTREQUEST" untuk DHCPDISCOVER dan DHCPREQUEST, serta "BOOTREPLY" untuk DHCPOFFER dan DHCPACK. Setel ke "DISCOVER", "REQUEST", "OFFER", atau "ACK" berdasarkan kolom dhcp_type. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.