Coletar registros do Netgate pfSense

Compatível com:

Neste documento, descrevemos como coletar os registros do Netgate pfSense usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão PFSENSE.

Configurar o Netgate pfSense

  1. Faça login na interface do pfSense com as credenciais de administrador.
  2. Nas configurações de Registro global, faça o seguinte:
    1. Selecione Status > Registros do sistema > Configurações.
    2. Na guia Configurações, selecione Opções gerais de geração de registros e faça o seguinte:
      1. No campo Formato da mensagem de registro, selecione syslog (RFC 5424, com carimbos de data/hora de precisão de microssegundos RFC 3339).
      2. No campo Registrar bloqueios padrão do firewall, marque as seguintes caixas de seleção:
        • Registrar pacotes correspondentes às regras de bloqueio padrão no conjunto de regras
        • Pacote de registro correspondente das regras de aprovação padrão inseridas no conjunto de regras
        • Registrar pacotes bloqueados pelas regras "Bloquear redes bogon"
        • Registrar pacotes bloqueados pelas regras "Bloquear redes particulares"
  3. Para salvar as novas configurações, clique em Salvar.

Enviar os registros de firewall para o Google SecOps

  1. Nas configurações de Registro global, selecione Status > Registros do sistema > Configurações.
  2. Na guia Configurações, selecione Opções de geração de registros remotos e faça o seguinte:
    • No campo Ativar geração de registros remota, marque a caixa de seleção Enviar mensagens de registro para o servidor syslog remoto.
    • No campo Endereço de origem, mantenha o valor padrão como Qualquer.
    • No campo Protocolo IP, se o endereço de origem estiver selecionado como o valor padrão, não será necessário especificar o endereço IP. Caso contrário, insira o endereço IP.
    • Em Servidores de registros remotos, especifique o endereço IP do encaminhador do Google SecOps.
    • Em Conteúdo do syslog remoto, marque a caixa de seleção Eventos de firewall.
  3. Para salvar as mudanças, clique em Salvar.

Configurar o encaminhador do Google SecOps para ingerir registros do Netgate pfSense

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome exclusivo para ele.
  6. Selecione pfSense como o Tipo de registro.
  7. No campo Tipo de coletor, selecione Syslog.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.

Referência de mapeamento de campos

Esse analisador de firewall pfSense extrai campos de mensagens syslog usando padrões grok, processando vários formatos de registro, incluindo eventos de DHCP e firewall. Em seguida, ele mapeia esses campos extraídos para a UDM, enriquecendo os dados com informações contextuais, como endereços IP, endereços MAC, nomes de usuário e detalhes da rede.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
aplicativo principal.application O valor é extraído da mensagem de registro usando padrões grok. Para mensagens do syslog, o nome do aplicativo geralmente é encontrado após o nome do host e o carimbo de data/hora.
comando principal.process.command_line Extraído do campo de descrição quando o registro indica uma execução de comando.
description metadata.description O campo de descrição é mapeado para a descrição de metadados da UDM, exceto nos registros de aplicativos syslog-ng, em que ele é mapeado para metadata.description. Para eventos de DHCP, o dhcp_type é adicionado antes da descrição.
dhcp_type metadata.product_event_type O tipo de mensagem DHCP (por exemplo, DHCPDISCOVER, DHCPOFFER) é extraído e mapeado.
host intermediary.hostname OU intermediary.ip Se o valor do host for um endereço IP válido, ele será mapeado para intermediary.ip. Caso contrário, ele será mapeado para intermediary.hostname.
host principal.hostname, principal.asset.hostname Quando não há um IP principal, o host é tratado como o nome de host principal.
mac principal.mac, network.dhcp.chaddr O endereço MAC associado a uma solicitação DHCP é extraído e mapeado.
src_ip principal.ip, principal.asset.ip Extraídos de formatos de registro específicos usando um padrão grok.
src_mac principal.mac Extraídos de formatos de registro específicos usando um padrão grok.
dst_mac target.mac Extraídos de formatos de registro específicos usando um padrão grok.
timestamp metadata.event_timestamp O carimbo de data/hora é extraído da mensagem de registro e convertido para um formato de carimbo de data/hora da UDM. As informações de fuso horário (tz) são anexadas ao carimbo de data/hora antes da conversão, se disponíveis.
timestamp_no_year metadata.event_timestamp Se um carimbo de data/hora sem ano estiver presente, ele será analisado, e o ano atual será adicionado durante o processo de análise.
usuário principal.user.userid O nome de usuário associado a um evento é extraído e mapeado.
column1 security_result.rule_id Mapeado da primeira coluna CSV se a descrição estiver nesse formato.
column6 security_result.rule_type Mapeado da sexta coluna CSV se a descrição estiver nesse formato.
column7 security_result.action Mapeado da sétima coluna CSV se a descrição estiver nesse formato. Convertido para "BLOCK" ou "ALLOW".
column8 network.direction Mapeado da oitava coluna do CSV se a descrição estiver nesse formato. Convertido para "INBOUND" ou "OUTBOUND".
column13 network.ip_protocol (se UDP ou ICMP) Mapeado da décima terceira coluna do CSV se a descrição estiver nesse formato e o protocolo for UDP ou ICMP. Para eventos TCP/UDP, ele é usado para criar um campo adicional com a chave "Id".
column16 principal.ip, principal.asset.ip (se IPv6 e column9 for 6) Mapeado da 16ª coluna CSV se a descrição estiver no formato CSV e column9 for 6. Para eventos TCP/UDP, é usado para identificação de protocolo se column9 for 4.
column17 target.ip, target.asset.ip (se IPv6 e não ip_failure) Mapeado da 17ª coluna CSV se a descrição estiver no formato CSV, column9 for 6 e o valor for um IP válido. Para eventos TCP/UDP, ele é usado na identificação de protocolo.
column18 principal.port (se for UDP) Mapeado da décima oitava coluna CSV se a descrição estiver no formato CSV e o protocolo for UDP. Para eventos TCP/UDP, ele é mapeado para network.received_bytes.
column19 target.port (se for UDP) Mapeado da décima nona coluna CSV se a descrição estiver no formato CSV e o protocolo for UDP. Para eventos de DHCP, ele é mapeado para network.dhcp.yiaddr. Para outros eventos, ele é mapeado para principal.ip, principal.asset.ip.
column20 additional.fields (chave: "data_length") (se UDP) Mapeado da vigésima coluna CSV se a descrição estiver no formato CSV e o protocolo for UDP. Para outros eventos, ele é mapeado para target.ip, target.asset.ip.
column21 principal.port (se TCP/UDP) Mapeado da 21ª coluna do CSV se a descrição estiver nesse formato e o protocolo for TCP ou UDP.
column22 target.port (se TCP/UDP) Mapeado da 22ª coluna CSV se a descrição estiver no formato CSV e o protocolo for TCP ou UDP.
column23 additional.fields (chave: "data_length") (se TCP/UDP) Mapeado da 23ª coluna do CSV se a descrição estiver nesse formato e o protocolo for TCP ou UDP.
column24 additional.fields (chave: "tcp_flags") (se TCP) Mapeado da 24ª coluna CSV se a descrição estiver no formato CSV e o protocolo for TCP.
column25 additional.fields (chave: "sequence_number") (se TCP/UDP) Mapeado da 25ª coluna do CSV se a descrição estiver nesse formato e o protocolo for TCP ou UDP.
column29 additional.fields (chave: "tcp_options") (se TCP) Mapeado da 29ª coluna CSV se a descrição estiver no formato CSV e o protocolo for TCP.
compression_algo additional.fields (chave: "Compression Algorithm") Extraído do campo de descrição e adicionado como um campo extra.
desc metadata.description Extraído do campo de mensagem e usado como descrição.
principal_ip principal.ip, principal.asset.ip Extraído do campo de descrição e representa o endereço IP principal.
principal_username principal.user.userid Extraído do campo de descrição e representa o nome de usuário principal.
status security_result.detection_fields (chave: "status") Extraído do campo de descrição e adicionado como um campo de detecção no resultado de segurança.
target_host target.hostname, target.asset.hostname Extraído do campo de descrição e representa o nome de host de destino.
src_port principal.port Extraído do campo de descrição e representa a porta de origem. Determinado com base em vários campos de registro e na lógica do analisador. Pode ser NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE ou GENERIC_EVENT. Codificado como "PFSENSE". Codificado como "PFSENSE". Codificado como "PFSENSE". Definido como "DHCP" para eventos de DHCP. Definido como "BOOTREQUEST" para DHCPDISCOVER e DHCPREQUEST, e "BOOTREPLY" para DHCPOFFER e DHCPACK. Defina como "DISCOVER", "REQUEST", "OFFER" ou "ACK" com base no campo dhcp_type.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.