このページは Cloud Translation API によって翻訳されました。

VSFTPD ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して VSFTPD ログを Google Security Operations に取り込む方法について説明します。パーサーは grok パターンを使用してログからフィールドを抽出し、UDM にマッピングします。ログイン、アップロード、ダウンロード、ディレクトリ操作など、さまざまなログタイプを処理し、SSL/TLS 情報やアクション（許可/ブロック）などの追加コンテキストでデータを拡充します。また、レスポンスコードと説明の抽出、ファイルサイズの整数への変換など、さまざまなログメッセージタイプに対して特定の変換も実行します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
VSFTPD を使用したホストへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VSFTPD'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

VSFTPD で Syslog を構成する

VSFTPD ホストにログインします。
Ubuntu/Debian に rsyslog をインストールするには、次のコマンドを実行します。
```
sudo apt install rsyslog
```
CentOS/RHEL に rsyslog をインストールするには、次のコマンドを実行します。
```
sudo yum install rsyslog
```
Syslog を使用するように vsftpd 構成を編集します。
```
sudo vi /etc/vsftpd.conf
```
次のパラメータが設定されていることを確認します。
```
syslog_enable=YES
xferlog_enable=NO
log_ftp_protocol=YES
```
保存して終了します。
vsftpd を再起動します。
```
sudo systemctl restart vsftpd
```
rsyslog 構成を編集して、ログを Bindplane エージェントに転送します。
```
sudo nano /etc/rsyslog.d/90-vsftpd.conf
```
次の行を追加して、UDP（デフォルトポート 514）を使用してログを転送します。
```
if ($programname == 'vsftpd') then @@BINDPLANE_IP:514
```
BINDPLANE_IP は、実際の Bindplane エージェントの IP アドレスに置き換えます。
- UDP には @、TCP には @@ を使用します。
rsyslog を再起動します。
```
sudo systemctl restart rsyslog
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`certificate`	`security_result.detection_fields.key`: 「cert」 `security_result.detection_fields.value`: `certificate` の値	`certificate` フィールドの値は、キー「cert」を持つ `security_result.detection_fields` オブジェクトにマッピングされます。
`cipher`	`network.tls.cipher`	`cipher` フィールドの値は直接マッピングされます。
`client_ip`	`principal.ip`	`client_ip` フィールドの値は直接マッピングされます。
`date`	`metadata.event_timestamp`	`month`、`year`、`time` とともに使用して `metadata.event_timestamp` を構築します。形式は、未加工ログの `timestamp` フィールドから取得され、解析されてタイムスタンプオブジェクトに変換されます。
`day`	`metadata.event_timestamp`	`month`、`year`、`time` とともに使用して `metadata.event_timestamp` を構築します。
`desc`	`metadata.description`	`desc` フィールドの値（`type` フィールドから抽出）は直接マッピングされます。これは、MKDIR、RMDIR、DELETE のオペレーションに適用されます。
`description`	`network.ftp.command` `security_result.description` `target.file.full_path`	`type` が「FTP コマンド」の場合、値は `network.ftp.command` にマッピングされます。`type` が「DEBUG」で、特定の SSL パターンと一致しない場合は、`security_result.description` にマッピングされます。`type` が「OK」で始まり、「OK LOGIN」ではなく、ログにファイルオペレーション（MKDIR、RMDIR、DELETE）が記述されている場合、`target.file.full_path` にマッピングされます。
`file_name`	`target.file.full_path`	`file_name` フィールドの値は直接マッピングされます。
`file_size`	`network.received_bytes` `network.sent_bytes`	`type` が「OK DOWNLOAD」または「FAIL DOWNLOAD」の場合、値は符号なし整数に変換され、`network.received_bytes` にマッピングされます。`type` が「OK UPLOAD」または「FAIL UPLOAD」の場合、値は符号なし整数に変換され、`network.sent_bytes` にマッピングされます。`type` が「OK LOGIN」の場合、「USER_LOGIN」に設定します。`type` がファイルオペレーション（「OK UPLOAD」、「OK DOWNLOAD」、「FAIL DOWNLOAD」、「OK MKDIR」、「OK RMDIR」、「OK DELETE」、「FAIL UPLOAD」）に関連する場合は、「FILE_UNCATEGORIZED」に設定します。他のすべての `type` 値の場合は「STATUS_UPDATE」に設定されます。常に「VSFTPD」に設定されます。常に「VSFTPD」に設定されます。常に「VSFTPD」に設定されます。
`month`	`metadata.event_timestamp`	`day`、`year`、`time` とともに使用して `metadata.event_timestamp` を構築します。
`pid`	`principal.process.pid`	`pid` フィールドの値は直接マッピングされます。
`response_code`	`network.http.response_code`	`response_code` フィールドの値は整数に変換され、マッピングされます。
`reused_status`	`security_result.detection_fields.key`: 「reused status」 `security_result.detection_fields.value`: `reused_status` の値	`reused_status` フィールドの値は、キー「reused status」を持つ `security_result.detection_fields` オブジェクトにマッピングされます。
`speed`	`additional.fields.key`: 「download_speed」または「upload_speed」 `additional.fields.value.string_value`: `speed` の値	`type` が「OK DOWNLOAD」または「FAIL DOWNLOAD」の場合、値はキー「download_speed」で `additional.fields` にマッピングされます。`type` が「OK UPLOAD」または「FAIL UPLOAD」の場合、値はキー「upload_speed」で `additional.fields` にマッピングされます。
`ssl_shutdown_state`	`security_result.detection_fields.key`: 「SSL Shutdown State」 `security_result.detection_fields.value`: `ssl_shutdown_state` の値	`ssl_shutdown_state` フィールドの値は、キー「SSL Shutdown State」を持つ `security_result.detection_fields` オブジェクトにマッピングされます。
`ssl_version`	`network.tls.version`	`ssl_version` フィールドの値は直接マッピングされます。
`time`	`metadata.event_timestamp`	`day`、`month`、`year` とともに使用して `metadata.event_timestamp` を構築します。
`type`	`metadata.description` `security_result.action_details`	`type` フィールドの値は、「OK LOGIN」の場合を除き、`metadata.description` にマッピングされます。許可またはブロックアクションを示す場合（「OK」または「FAIL」で始まる場合）は、`security_result.action_details` にもマッピングされます。
`userid`	`principal.user.userid` `target.user.userid`	`type` が「OK LOGIN」の場合、値は `target.user.userid` にマッピングされます。それ以外の場合は、`principal.user.userid` にマッピングされます。
`year`	`metadata.event_timestamp`	`day`、`month`、`time` とともに使用して `metadata.event_timestamp` を構築します。`type` が「OK LOGIN」の場合は、「NETWORK」に設定されます。`type` が「OK LOGIN」の場合は、「MACHINE」に設定されます。`type` が「OK」で始まる場合は、「ALLOW」に設定されます。`type` が「FAIL」で始まる場合は「BLOCK」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。