Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VSFTPD

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log VSFTPD ke Google Security Operations menggunakan Bindplane. Parser menggunakan pola grok untuk mengekstrak kolom dari log, memetakannya ke UDM. Log ini menangani berbagai jenis log, termasuk login, upload, download, dan operasi direktori, yang memperkaya data dengan konteks tambahan seperti informasi dan tindakan SSL/TLS (izinkan/blokir). Selain itu, fungsi ini melakukan transformasi tertentu untuk berbagai jenis pesan log, seperti mengekstrak kode dan deskripsi respons, serta mengonversi ukuran file menjadi bilangan bulat.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika berjalan di belakang proxy, pastikan port firewall terbuka
Akses istimewa ke host dengan VSFTPD

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VSFTPD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di VSFTPD

Login ke host VSFTPD.
Untuk menginstal rsyslog di Ubuntu/Debian, jalankan perintah berikut:
```
sudo apt install rsyslog
```
Untuk menginstal rsyslog di CentOS/RHEL, jalankan perintah berikut:
```
sudo yum install rsyslog
```
Edit konfigurasi vsftpd untuk menggunakan Syslog:
```
sudo vi /etc/vsftpd.conf
```

Pastikan parameter berikut ditetapkan:

syslog_enable=YES
xferlog_enable=NO
log_ftp_protocol=YES

Simpan dan keluar.
Mulai ulang vsftpd:
```
sudo systemctl restart vsftpd
```
Edit konfigurasi rsyslog untuk meneruskan log ke agen Bindplane:
```
sudo nano /etc/rsyslog.d/90-vsftpd.conf
```
Tambahkan baris berikut untuk meneruskan log menggunakan UDP (port default 514):
```
if ($programname == 'vsftpd') then @@BINDPLANE_IP:514
```
Ganti BINDPLANE_IP dengan alamat IP agen Bindplane yang sebenarnya.
- Gunakan @ untuk UDP, @@ untuk TCP.
Mulai ulang rsyslog:
```
sudo systemctl restart rsyslog
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`certificate`	`security_result.detection_fields.key`: "cert" `security_result.detection_fields.value`: nilai `certificate`	Nilai kolom `certificate` dipetakan ke objek `security_result.detection_fields` dengan kunci "cert".
`cipher`	`network.tls.cipher`	Nilai kolom `cipher` dipetakan secara langsung.
`client_ip`	`principal.ip`	Nilai kolom `client_ip` dipetakan secara langsung.
`date`	`metadata.event_timestamp`	Digunakan dengan `month`, `year`, dan `time` untuk membuat `metadata.event_timestamp`. Format ini berasal dari kolom `timestamp` di log mentah, diuraikan, dan dikonversi menjadi objek stempel waktu.
`day`	`metadata.event_timestamp`	Digunakan dengan `month`, `year`, dan `time` untuk membuat `metadata.event_timestamp`.
`desc`	`metadata.description`	Nilai kolom `desc` (diekstrak dari kolom `type`) dipetakan secara langsung. Hal ini berlaku untuk operasi "MKDIR", "RMDIR", dan "DELETE".
`description`	`network.ftp.command` `security_result.description` `target.file.full_path`	Jika `type` adalah "FTP command", nilai dipetakan ke `network.ftp.command`. Jika `type` adalah "DEBUG" dan tidak cocok dengan pola SSL tertentu, maka akan dipetakan ke `security_result.description`. Jika `type` dimulai dengan "OK" dan bukan "OK LOGIN", dan log menjelaskan operasi file (MKDIR, RMDIR, DELETE), maka akan dipetakan ke `target.file.full_path`.
`file_name`	`target.file.full_path`	Nilai kolom `file_name` dipetakan secara langsung.
`file_size`	`network.received_bytes` `network.sent_bytes`	Jika `type` adalah "OK DOWNLOAD" atau "FAIL DOWNLOAD", nilai akan dikonversi menjadi bilangan bulat tidak bertanda dan dipetakan ke `network.received_bytes`. Jika `type` adalah "OK UPLOAD" atau "FAIL UPLOAD", nilai akan dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan dipetakan ke `network.sent_bytes`. Tetapkan ke "USER_LOGIN" jika `type` adalah "OK LOGIN". Tetapkan ke "FILE_UNCATEGORIZED" jika `type` terkait dengan operasi file ("OK UPLOAD", "OK DOWNLOAD", "FAIL DOWNLOAD", "OK MKDIR", "OK RMDIR", "OK DELETE", "FAIL UPLOAD"). Tetapkan ke "STATUS_UPDATE" untuk semua nilai `type` lainnya. Selalu ditetapkan ke "VSFTPD". Selalu ditetapkan ke "VSFTPD". Selalu ditetapkan ke "VSFTPD".
`month`	`metadata.event_timestamp`	Digunakan dengan `day`, `year`, dan `time` untuk membuat `metadata.event_timestamp`.
`pid`	`principal.process.pid`	Nilai kolom `pid` dipetakan secara langsung.
`response_code`	`network.http.response_code`	Nilai kolom `response_code` dikonversi menjadi bilangan bulat dan dipetakan.
`reused_status`	`security_result.detection_fields.key`: "status digunakan kembali" `security_result.detection_fields.value`: nilai `reused_status`	Nilai kolom `reused_status` dipetakan ke objek `security_result.detection_fields` dengan kunci "status digunakan ulang".
`speed`	`additional.fields.key`: "download_speed" atau "upload_speed" `additional.fields.value.string_value`: nilai `speed`	Jika `type` adalah "OK DOWNLOAD" atau "FAIL DOWNLOAD", nilai akan dipetakan ke `additional.fields` dengan kunci "download_speed". Jika `type` adalah "OK UPLOAD" atau "FAIL UPLOAD", nilai dipetakan ke `additional.fields` dengan kunci "upload_speed".
`ssl_shutdown_state`	`security_result.detection_fields.key`: "SSL Shutdown State" `security_result.detection_fields.value`: nilai `ssl_shutdown_state`	Nilai kolom `ssl_shutdown_state` dipetakan ke objek `security_result.detection_fields` dengan kunci "SSL Shutdown State".
`ssl_version`	`network.tls.version`	Nilai kolom `ssl_version` dipetakan secara langsung.
`time`	`metadata.event_timestamp`	Digunakan dengan `day`, `month`, dan `year` untuk membuat `metadata.event_timestamp`.
`type`	`metadata.description` `security_result.action_details`	Nilai kolom `type` dipetakan ke `metadata.description`, kecuali jika nilainya "OK LOGIN". ID ini juga dipetakan ke `security_result.action_details` saat menunjukkan tindakan izinkan atau blokir (dimulai dengan "OK" atau "FAIL").
`userid`	`principal.user.userid` `target.user.userid`	Jika `type` adalah "OK LOGIN", nilai akan dipetakan ke `target.user.userid`. Jika tidak, nilai ini dipetakan ke `principal.user.userid`.
`year`	`metadata.event_timestamp`	Digunakan dengan `day`, `month`, dan `time` untuk membuat `metadata.event_timestamp`. Tetapkan ke "NETWORK" jika `type` adalah "OK LOGIN". Tetapkan ke "MACHINE" jika `type` adalah "OK LOGIN". Ditetapkan ke "ALLOW" jika `type` dimulai dengan "OK". Ditetapkan ke "BLOCK" jika `type` dimulai dengan "FAIL".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.