收集 WatchGuard Fireware 記錄
支援的國家/地區:
Google SecOps
SIEM
總覽
這個剖析器會以 JSON 或鍵/值 (KV) 格式擷取 WatchGuard Fireware 記錄,並將其轉換為 UDM。它會以不同方式處理「流量」和「事件」記錄,使用 grok 和 kv 篩選器擷取欄位並對應至 UDM,針對各種 msg_id 值和事件名稱採用特定邏輯,處理網路通訊協定、使用者動作、安全性結果和其他相關詳細資料。此外,它也會處理第二組系統記錄項目,擷取類似資訊並對應至 UDM 格式。
事前準備
- 確認您擁有 Google SecOps 執行個體。
- 確認您具備 Watchguard 的特殊權限。
- 請確認您有 Windows 2012 SP2 以上版本或 Linux 主機 (含 systemd)。
- 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
- 如要在 Windows 上安裝,請執行下列指令碼:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。 - 如要安裝 Linux,請執行下列指令碼:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。 - 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取安裝 Bindplane 的電腦。
按照下列方式編輯
config.yaml檔案:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: testNamespace raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels使用下列指令重新啟動 Bindplane 代理程式,以套用變更:
sudo systemctl bindplane restart
在 Watchguard 中新增 Syslog 伺服器設定
- 登入 Watchguard UI。
- 依序選取「System」>「Logging」。
- 按一下「Syslog Server」分頁標籤。
- 選取「將記錄訊息傳送至這些系統記錄檔伺服器」核取方塊。
- 按一下「新增」。
在「Syslog Server」(系統記錄伺服器) 對話方塊中,指定輸入參數的值:
- IP 位址:輸入伺服器 IP 位址。
- 通訊埠:變更預設的系統記錄檔伺服器通訊埠 (514),為伺服器輸入其他通訊埠。
- 記錄格式:從下拉式選單中選取「Syslog」。
- 選用:說明:輸入伺服器的說明 (例如「Google SecOps 匯出」)。
- 選用:時間戳記:選取核取方塊,在記錄訊息詳細資料中加入事件發生日期和時間。
- 選用:裝置序號:選取核取方塊,在記錄訊息詳細資料中加入 Firebox 序號。
- 系統記錄設施:為每種記錄訊息從下拉式選單中選取優先順序 (例如,高優先順序的系統記錄訊息,如警報,請選取「Local0」)。
- 選用:還原預設值:還原預設設定。
按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
action |
security_result.action_details |
原始記錄中的 action 值會指派給 security_result.action_details。 |
action |
target.labels.value |
原始記錄中的 action 值會指派給 target.labels.value,而 target.labels.key 則是「資源的動作」。 |
arg |
target.file.full_path |
原始記錄中的 arg 值會指派給 target.file.full_path。 |
app_cat_id |
about.labels.value |
原始記錄中的 app_cat_id 值會指派給 about.labels.value,而 about.labels.key 為「app_cat_id」。 |
app_cat_name |
target.application |
與 app_name 搭配使用,形成 target.application 的值 (例如 「Google - Web services」)。 |
app_id |
about.labels.value |
原始記錄中的 app_id 值會指派給 about.labels.value,而 about.labels.key 則是「app_id」。 |
app_name |
target.application |
與 app_cat_name 搭配使用,形成 target.application 的值 (例如 「Google - Web services」)。 |
cats |
security_result.category_details |
原始記錄中的 cats 值會指派給 security_result.category_details。 |
cert_issuer |
network.tls.server.certificate.issuer |
原始記錄中的 cert_issuer 值會指派給 network.tls.server.certificate.issuer。 |
cert_subject |
network.tls.server.certificate.subject |
原始記錄中的 cert_subject 值會指派給 network.tls.server.certificate.subject。 |
cn |
network.tls.server.certificate.subject |
原始記錄中的 cn 值會指派給 network.tls.server.certificate.subject。 |
conn_action |
security_result.action_details |
原始記錄中的 conn_action 值會指派給 security_result.action_details。 |
content_type |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
description |
metadata.description |
從原始記錄衍生出的 description 值會指派給 metadata.description。 |
dhcp_type |
network.dhcp.type |
原始記錄中的 dhcp_type 值會對應至 network.dhcp.type 中的相應 DHCP 類型 (例如 「REQUEST」、「ACK」)。 |
dst_host |
target.hostname |
原始記錄中的 dst_host 值會指派給 target.hostname。 |
dst_ip |
target.ip |
原始記錄中的 dst_ip 值會指派給 target.ip。 |
dst_mac |
target.mac |
原始記錄中的 dst_mac 值會指派給 target.mac。 |
dst_port |
target.port |
原始記錄中的 dst_port 值會指派給 target.port。 |
dst_user |
target.user.user_display_name |
原始記錄中的 dst_user 值會指派給 target.user.user_display_name。 |
dstname |
target.administrative_domain |
原始記錄中的 dstname 值會指派給 target.administrative_domain。 |
duration |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
elapsed_time |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
endpoint |
intermediary.labels.value |
原始記錄中的 endpoint 值會指派給 intermediary.labels.value,而 intermediary.labels.key 則是「Gateway-Endpoint」。 |
event_name |
principal.application |
原始記錄中的 event_name 值會指派給 principal.application。 |
firewall_id |
intermediary.asset_id |
原始記錄中的 firewall_id 值會加上「Firewall ID : 」前置字串,並指派給 intermediary.asset_id。 |
firewall_name |
principal.asset_id |
原始記錄中的 firewall_name 值會加上「Firewall: 」前置字串,並指派給 principal.asset_id。 |
firewallname |
intermediary.hostname |
原始記錄中的 firewallname 值會指派給 intermediary.hostname。 |
firewallname |
principal.hostname |
原始記錄中的 firewallname 值會指派給 principal.hostname。 |
fqdn_dst_match |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
geo |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
geo_dst |
target.location.country_or_region |
原始記錄中的 geo_dst 值會指派給 target.location.country_or_region。 |
geo_src |
principal.location.country_or_region |
原始記錄中的 geo_src 值會指派給 principal.location.country_or_region。 |
host |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
ike_policy |
security_result.rule_id |
原始記錄中的 ike_policy 值會指派給 security_result.rule_id。 |
ike_policy_version |
security_result.rule_version |
原始記錄中的 ike_policy_version 值會指派給 security_result.rule_version。 |
intermediary_host |
intermediary.hostname |
原始記錄中的 intermediary_host 值會指派給 intermediary.hostname。 |
ipaddress |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
ipsec_policy |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
ipsec_policy_version |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
keyword |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
line |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
log_message |
metadata.description |
如果沒有其他更具體的說明,系統會將原始記錄中的 log_message 值指派給 metadata.description。 |
log_reason |
security_result.summary |
原始記錄中的 log_reason 值會指派給 security_result.summary。 |
log_type |
metadata.log_type |
原始記錄中的 log_type 值會指派給 metadata.log_type。一律設為「WATCHGUARD」。 |
msg |
security_result.summary |
原始記錄中的 msg 值會指派給 security_result.summary。 |
msg_id |
metadata.product_event_type |
原始記錄中的 msg_id 值會指派給 metadata.product_event_type。 |
new_action |
security_result.action_details |
與 conn_action 搭配使用,可形成 security_result.action_details 的值 (例如 「ProxyReplace: IP protocol - HTTPS-Client.DPI-Off」)。 |
op |
network.http.method |
原始記錄中的 op 值會指派給 network.http.method。 |
path |
target.url |
原始記錄中的 path 值會指派給 target.url。 |
pid |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
policy_name |
intermediary.resource.name |
原始記錄中的 policy_name 值會指派給 intermediary.resource.name。 |
policy_name |
security_result.rule_name |
原始記錄中的 policy_name 值會指派給 security_result.rule_name。 |
policyname_label.value |
security_result.rule_labels.value |
原始記錄中的 policy_name 值會指派給 security_result.rule_labels.value,而 security_result.rule_labels.key 則是「PolicyName」。 |
prin_host |
principal.hostname |
原始記錄中的 prin_host 值會指派給 principal.hostname。 |
proc_id |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
protocol |
network.ip_protocol |
原始記錄中的 protocol 值會轉換為大寫,然後指派給 network.ip_protocol。特殊處理「EXTERNAL ICMP」,這會對應至「ICMP」。 |
proxy_act |
security_result.rule_id |
原始記錄中的 proxy_act 值會指派給 security_result.rule_id。 |
proxy_act |
security_result.rule_name |
原始記錄中的 proxy_act 值會指派給 security_result.rule_name。 |
query_name |
network.dns.questions.name |
原始記錄中的 query_name 值會指派給 network.dns.questions.name。 |
query_type |
network.dns.questions.type |
原始記錄中的 query_type 值會指派給 network.dns.questions.type。特別處理數字查詢類型,並對應至標準 DNS 查詢類型。 |
rc |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
reason |
security_result.summary |
原始記錄中的 reason 值會指派給 security_result.summary。 |
record_type |
network.dns.answers.type |
原始記錄中的 record_type 值會對應至 network.dns.answers.type 中的相應 DNS 記錄類型。 |
redirect_action |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
reputation |
additional.fields.value.string_value |
原始記錄中的 reputation 值會指派給 additional.fields.value.string_value,而 additional.fields.key 則是「reputation」。 |
response |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
response_code |
network.dns.response_code |
原始記錄中的 response_code 值會對應至 network.dns.response_code 中的相應 DNS 回應代碼。 |
route_type |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
rule_name |
security_result.rule_name |
原始記錄中的 rule_name 值會指派給 security_result.rule_name。 |
rcvd_bytes |
network.received_bytes |
原始記錄中的 rcvd_bytes 值會指派給 network.received_bytes。 |
sent_bytes |
network.sent_bytes |
原始記錄中的 sent_bytes 值會指派給 network.sent_bytes。 |
server_ssl |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
severity |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
sig_vers |
network.tls.server.certificate.version |
原始記錄中的 sig_vers 值會指派給 network.tls.server.certificate.version。 |
signature_cat |
additional.fields.value.string_value |
原始記錄中的 signature_cat 值會指派給 additional.fields.value.string_value,而 additional.fields.key 則是「signature_cat」。 |
signature_id |
additional.fields.value.string_value |
原始記錄中的 signature_id 值會指派給 additional.fields.value.string_value,而 additional.fields.key 為「signature_id」。 |
signature_name |
additional.fields.value.string_value |
原始記錄中的 signature_name 值會指派給 additional.fields.value.string_value,而 additional.fields.key 為「signature_name」。 |
sni |
network.tls.client.server_name |
原始記錄中的 sni 值會指派給 network.tls.client.server_name。 |
src_ctid |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
src_host |
principal.hostname |
原始記錄中的 src_host 值會指派給 principal.hostname。 |
src_ip |
principal.ip |
原始記錄中的 src_ip 值會指派給 principal.ip。 |
src_ip_nat |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
src_mac |
principal.mac |
原始記錄中的 src_mac 值會指派給 principal.mac。 |
src_port |
principal.port |
原始記錄中的 src_port 值會指派給 principal.port。 |
src_user |
principal.user.user_display_name |
原始記錄中的 src_user 值會指派給 principal.user.user_display_name。 |
src_user_name |
principal.user.user_display_name |
原始記錄中的 src_user_name 值會指派給 principal.user.user_display_name。 |
src_vpn_ip |
principal.ip |
原始記錄中的 src_vpn_ip 值會指派給 principal.ip。 |
srv_ip |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
srv_port |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
ssl_offload |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
tcp_info |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
time |
metadata.event_timestamp.seconds、timestamp.seconds |
系統會剖析原始記錄中的 time 值,並用來填入 metadata.event_timestamp.seconds 和 timestamp.seconds。 |
time1 |
metadata.event_timestamp.seconds、timestamp.seconds |
系統會剖析原始記錄中的 time1 值,並用來填入 metadata.event_timestamp.seconds 和 timestamp.seconds。 |
tls_profile |
about.labels.value |
原始記錄中的 tls_profile 值會指派給 about.labels.value,而 about.labels.key 則是「tls_profile」。 |
tls_version |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
user_name |
principal.user.userid、principal.user.user_display_name |
系統會根據情境,將原始記錄中的 user_name 值指派給 principal.user.userid 或 principal.user.user_display_name。 |
user_type |
未對應 | 未對應至所提供 UDM 範例中的 IDM 物件。 |
| (不適用) | intermediary.resource.type |
一律設為「ACCESS_POLICY」。 |
| (不適用) | metadata.event_type |
由剖析器邏輯根據 msg_id、log_type、event_name 和其他欄位判斷。可以是 NETWORK_CONNECTION、SERVICE_MODIFICATION、NETWORK_SMTP、NETWORK_DNS、NETWORK_HTTP、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_UPDATE_CONTENT、RESOURCE_PERMISSIONS_CHANGE、RESOURCE_CREATION、GENERIC_EVENT、STATUS_UPDATE 或 USER_UNCATEGORIZED。 |
| (不適用) | metadata.product_name |
一律設為「韌體」。 |
| (不適用) | metadata.vendor_name |
一律設為「Watchguard」。 |
| (不適用) | security_result.action |
由剖析器邏輯根據 disposition 決定。可以是「ALLOW」或「BLOCK」。 |
| (不適用) | extensions.auth.type |
如果是使用者登入/登出事件,請設為「AUTHTYPE_UNSPECIFIED」;如果是與 VPN 相關的網路事件,請設為「VPN」。 |
| (不適用) | network.application_protocol |
由剖析器邏輯根據 msg_id 和 event_name 判斷。可以是「DNS」、「DHCP」、「HTTP」或「HTTPS」。 |
| (不適用) | network.dns.questions.type |
如果是「A」記錄查詢,請設為 1。 |
| (不適用) | target.labels.key |
如果 action 對應至 target.labels.value,請設為「資源的動作」。 |
| (不適用) | intermediary.labels.key |
如果 prin_host 對應至 intermediary.labels.value,請設為「防火牆成員名稱」。 |
| (不適用) | intermediary.labels.key |
如果 endpoint 對應至 intermediary.labels.value,請設為「Gateway-Endpoint」。 |
| (不適用) | principal.labels.key |
如果 gateway 對應至 principal.labels.value,請設為「Gateway」。 |
| (不適用) | target.labels.key |
如果 gateway 對應至 target.labels.value,請設為「Gateway」。 |
| (不適用) | principal.labels.key |
如果 status 對應至 principal.labels.value,請設為「state」。 |
| (不適用) | target.labels.key |
將 status 對應至 target.labels.value 時,請設為「閘道狀態」。 |
| (不適用) | additional.fields.key |
從原始記錄對應相應值時,請設為「signature_name」、「signature_cat」、「signature_id」或「reputation」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。