本頁面由 Cloud Translation API 翻譯而成。

收集 OPNsense 防火牆記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會從 OPNsense 防火牆記錄 (syslog 和 CSV 格式) 擷取欄位，並對應至 UDM。它會使用 grok 和 CSV 剖析「filterlog」應用程式記錄，處理不同的記錄格式和網路通訊協定 (TCP、UDP、ICMP 等)，以填入主體、目標、網路和 security_result 等 UDM 欄位。此外，這項功能還會新增供應商和產品名稱等中繼資料，並根據主體和目標資訊的存在與否，判斷事件類型。

事前準備

確認您有 Google Security Operations 執行個體。
確認您擁有 OPNsense 網頁介面的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

如要在 Windows 上安裝，請執行下列指令碼：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
如要在 Linux 上安裝，請執行下列指令碼：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取安裝 Bindplane 代理程式的機器。

按照下列方式編輯 config.yaml 檔案：

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

使用下列指令重新啟動 Bindplane 代理程式，以套用變更： sudo systemctl bindplane restart

將 Syslog 伺服器設定新增至 OPNsense

登入 OPNsense 網頁介面。
依序前往「系統」>「設定」>「記錄」。
在「Remote Logging」(遠端記錄) 區段中，勾選核取方塊來啟用「Send logs to remote syslog server」(將記錄傳送至遠端 syslog 伺服器)。
在「Remote Syslog Servers」(遠端系統記錄伺服器) 欄位中，輸入系統記錄伺服器的 IP 位址，包括 PORT (例如 10.10.10.10:54525)。
選取「Local0」做為「syslog facility」(系統記錄設施)。
將系統記錄層級設為「警示」。

注意： 「資訊」或「偵錯」層級通常用於更詳細的記錄資訊。
點選「儲存」來套用變更。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`column1`	`security_result.rule_id`	直接對應自 `column1`。
`column10`	`additional.fields[].key`: "tos" `additional.fields[].value.string_value`: `column10` 的值	直接從 `column10` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「tos」。
`column12`	`additional.fields[].key`: "ttl" `additional.fields[].value.string_value`: `column12` 的值	直接從 `column12` 對應，巢狀結構位於 `additional.fields` 下方，金鑰為「ttl」。
`column13`	`additional.fields[].key`: "Id" `additional.fields[].value.string_value`: `column13` 的值	直接從 `column13` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「Id」。
`column14`	`additional.fields[].key`: "offset" `additional.fields[].value.string_value`: `column14` 的值	直接從 `column14` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「offset」。
`column15`	`additional.fields[].key`: "flags" `additional.fields[].value.string_value`: `column15` 的值	直接從 `column15` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「flags」。
`column17`	`network.ip_protocol`	轉換為大寫後，直接從 `column17` 對應。
`column18`	`network.received_bytes`	轉換為不帶正負號的整數後，直接對應至 `column18`。
`column19`	`principal.ip`	直接對應自 `column19`。
`column20`	`target.ip`	直接對應自 `column20`。
`column21`	`principal.port` (如果 `column17` 是 TCP 或 UDP) `additional.fields[].key`：「data_length」 `additional.fields[].value.string_value`：擷取的值 (如果 `column17` 是 ICMP、GRE、ESP 或 IGMP)	如果 `column17` 是 TCP/UDP，則直接從 `column21` 對應並轉換為整數。否則，系統會使用 grok 擷取「datalength」值，並將該值放在 `additional.fields` 中，索引鍵為「data_length」。
`column22`	`target.port`	如果 `column17` 是 TCP 或 UDP，則直接從 `column22` 對應，並轉換為整數。
`column24`	`additional.fields[].key`: "tcp_flags" `additional.fields[].value.string_value`: Value of `column24`	直接從 `column24` 對應 (如果 `column17` 是 TCP，則會巢狀內嵌在 `additional.fields` 下方，並使用「tcp_flags」鍵)。
`column29`	`additional.fields[].key`: "tcp_options" `additional.fields[].value.string_value`: `column29` 的值	如果 `column17` 是 TCP，則直接從 `column29` 對應，並以「tcp_options」鍵值巢狀內嵌於 `additional.fields` 下。
`column4`	`additional.fields[].key`: "tracker" `additional.fields[].value.string_value`: `column4` 的值	直接從 `column4` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「tracker」。
`column5`	`additional.fields[].key`: "interface" `additional.fields[].value.string_value`: Value of `column5`	直接從 `column5` 對應，巢狀結構位於 `additional.fields` 下方，且鍵為「介面」。
`column6`	`security_result.rule_type`	直接對應自 `column6`。
`column7`	`security_result.action`	對應自 `column7`。如果為「block」，則轉換為大寫「BLOCK」。如果為「通過」，請設為「ALLOW」。
`column8`	`network.direction`	對應自 `column8`。如果為「in」，請設為「INBOUND」。如果是「out」，請設為「OUTBOUND」。
`domain`	`principal.administrative_domain`	直接從 grok 擷取的 `domain` 對應。如果主體和目標 IP 位址都存在，請設為「NETWORK_CONNECTION」，否則請設為「GENERIC_EVENT」。硬式編碼為「OPNSENSE」。硬式編碼為「OPNSENSE」。
`message`	各種欄位	使用 grok 和 csv 篩選器剖析，以擷取各種欄位。如需特定對應，請參閱其他列。
`ts`	`metadata.event_timestamp.seconds`、`timestamp.seconds`	使用 grok 從訊息欄位剖析，然後轉換為時間戳記。秒數值會用於填入 `metadata.event_timestamp.seconds` 和 `timestamp.seconds`。
`application`	`principal.application`	直接從 grok 擷取的 `application` 對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。