Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Juniper Junos

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos do Juniper Junos através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento JUNIPER_JUNOS.

Configure o registo estruturado para um dispositivo Juniper Networks SRX

O formato de registo estruturado extrai informações de mensagens de registo. O formato de registo está em conformidade com o protocolo Syslog.

Inicie sessão na CLI do Juniper SRX através de SSH no respetivo endereço IP de gestão.
Escreva CLI na linha de comandos e prima enter.
Escreva configure e prima Enter para aceder ao modo de configuração do dispositivo.
Introduza os detalhes de contacto ou o ponto de referência do cliente.
Para mapear os campos para a conta de utilizador, execute os seguintes comandos:
```
   set system syslog host FORWARDER_IP_ADDRESS any info

   set system syslog host FORWARDER_IP_ADDRESS structured-data
```
Substitua FORWARDER_IP_ADDRESS pelo endereço IP do encaminhador do Google Security Operations.
Para ativar o registo estruturado para registos de segurança, use os seguintes comandos:
```
   set security log mode stream

   set security log source-address SRC_IP_ADDRESS

   set security log stream SYSLOG_STREAM_NAME host FORWARDER_IP_ADDRESS

   set security log stream SYSLOG_STREAM_NAME format sd-syslog
```
Substitua o seguinte:
- SRC_IP_ADDRESS: o endereço IP do dispositivo Juniper SRX.
- SYSLOG_STREAM_NAME: o nome atribuído ao servidor Syslog.
- FORWARDER_IP_ADDRESS: o endereço IP do encaminhador do Google Security Operations.

Certifique-se de que o registo está ativado em todas as políticas de segurança. Para ativar o registo, execute os seguintes comandos:

   set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-close

   set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-init

Configure o nome de anfitrião no dispositivo com o seguinte comando:
```
   set system host-name HOSTNAME
```
Substitua HOSTNAME pelo dispositivo Juniper Networks SRX atribuído.
Introduza commit para guardar os comandos executados na configuração.

Configure o encaminhador e o syslog do Google Security Operations para carregar registos do Juniper Junos

Selecione Definições do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
Introduza um nome exclusivo no campo Nome do encaminhador.
Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
No campo Nome do coletor, introduza um nome exclusivo para o coletor.
Selecione Juniper Junos como o Tipo de registo.
Selecione Syslog como o tipo de coletor.
Configure os seguintes parâmetros de entrada:
- Protocolo: especifique o protocolo como UDP.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo. Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador extrai campos de mensagens syslog do Juniper JUNOS, processando formatos de chave-valor e não chave-valor. Usa padrões grok para corresponder a várias estruturas de mensagens, incluindo registos de firewall, atividade SSH e execuções de comandos. Em seguida, mapeia os campos extraídos para o UDM. O analisador também processa registos formatados em CEF através de um ficheiro de inclusão e realiza ações específicas com base no conteúdo da mensagem, como a união de endereços IP e nomes de utilizador em campos UDM adequados.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`DPT`	`target.port`	A porta de destino da ligação de rede, convertida num número inteiro.
`DST`	`target.ip`	O endereço IP de destino da ligação de rede.
`FLAG`	`additional.fields{}.key`: "FLAG", `additional.fields{}.value.string_value`: Value of `FLAG`	O indicador TCP associado à ligação de rede.
`ID`	`additional.fields{}.key`: "ID", `additional.fields{}.value.string_value`: Valor de `ID`	O campo de identificação de IP.
`IN`	`additional.fields{}.key`: "IN", `additional.fields{}.value.string_value`: Valor de `IN`	A interface de rede de entrada.
`LEN`	`additional.fields{}.key`: "LEN", `additional.fields{}.value.string_value`: Value of `LEN`	O comprimento do pacote IP.
`MAC`	`principal.mac`	O endereço MAC extraído do campo `MAC`.
`OUT`	`additional.fields{}.key`: "OUT", `additional.fields{}.value.string_value`: Value of `OUT`	A interface de rede de saída.
`PREC`	`additional.fields{}.key`: "PREC", `additional.fields{}.value.string_value`: Value of `PREC`	O campo Precedence no cabeçalho IP.
`PROTO`	`network.ip_protocol`	O protocolo IP usado na ligação de rede.
`RES`	`additional.fields{}.key`: "RES", `additional.fields{}.value.string_value`: Value of `RES`	Campo reservado no cabeçalho TCP.
`SPT`	`principal.port`	A porta de origem da ligação de rede, convertida num número inteiro.
`SRC`	`principal.ip`	O endereço IP de origem da ligação de rede.
`TOS`	`additional.fields{}.key`: "TOS", `additional.fields{}.value.string_value`: valor de `TOS`	O campo Tipo de serviço no cabeçalho IP.
`TTL`	`network.dns.additional.ttl`	Valor de tempo de vida, convertido num número inteiro sem sinal.
`URGP`	`additional.fields{}.key`: "URGP", `additional.fields{}.value.string_value`: Value of `URGP`	Campo urgent pointer no cabeçalho TCP.
`WINDOW`	`additional.fields{}.key`: "WINDOW_SIZE", `additional.fields{}.value.string_value`: valor de `WINDOW`	O tamanho da janela TCP.
`action`	`security_result.action`	A ação tomada pela firewall, extraída da mensagem CEF.
`agt`	`observer.ip`	O endereço IP do agente.
`amac`	`target.mac`	O endereço MAC do alvo, convertido em minúsculas e com os hífenes substituídos por dois pontos.
`app`	`target.application`	A aplicação envolvida no evento.
`artz`	`observer.zone`	O fuso horário do observador.
`atz`	`target.location.country_or_region`	O fuso horário de destino.
`categoryBehavior`	`additional.fields{}.key`: "Category Behavior", `additional.fields{}.value.string_value`: valor de `categoryBehavior` com as barras removidas	O comportamento da categoria.
`categoryDeviceGroup`	`additional.fields{}.key`: "Category Device Group", `additional.fields{}.value.string_value`: valor de `categoryDeviceGroup` com barras invertidas removidas	O grupo de dispositivos de categoria.
`categoryObject`	`additional.fields{}.key`: "Category Object", `additional.fields{}.value.string_value`: valor de `categoryObject` com barras removidas	O objeto de categoria.
`categoryOutcome`	`additional.fields{}.key`: "Category Outcome", `additional.fields{}.value.string_value`: valor de `categoryOutcome` com barras removidas	O resultado da categoria.
`categorySignificance`	`additional.fields{}.key`: "category Significance", `additional.fields{}.value.string_value`: Value of `categorySignificance`	O significado da categoria.
`command`	`target.process.command_line`	O comando foi executado.
`cs1Label`	`additional.fields{}.key`: `cs1Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 1 da mensagem CEF.
`cs2Label`	`additional.fields{}.key`: `cs2Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 2 da mensagem CEF.
`cs3Label`	`additional.fields{}.key`: `cs3Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 3 da mensagem CEF.
`cs4Label`	`additional.fields{}.key`: `cs4Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 4 da mensagem CEF.
`cs5Label`	`additional.fields{}.key`: `cs5Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 5 da mensagem CEF.
`cs6Label`	`additional.fields{}.key`: `cs6Label`, `additional.fields{}.value.string_value`: valor do campo CEF correspondente	Etiqueta e valor do campo de string personalizado 6 da mensagem CEF.
`dhost`	`target.hostname`	Nome do anfitrião de destino.
`deviceCustomString1`	`additional.fields{}.key`: `cs1Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString1`	String personalizada do dispositivo 1.
`deviceCustomString2`	`additional.fields{}.key`: `cs2Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString2`	String personalizada do dispositivo 2.
`deviceCustomString3`	`additional.fields{}.key`: `cs3Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString3`	String personalizada do dispositivo 3.
`deviceCustomString4`	`additional.fields{}.key`: `cs4Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString4`	String personalizada do dispositivo 4.
`deviceCustomString5`	`additional.fields{}.key`: `cs5Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString5`	String personalizada do dispositivo 5.
`deviceCustomString6`	`additional.fields{}.key`: `cs6Label`, `additional.fields{}.value.string_value`: valor de `deviceCustomString6`	String personalizada do dispositivo 6.
`deviceDirection`	`network.direction`	A direção do tráfego de rede.
`deviceEventClassId`	`additional.fields{}.key`: "eventId", `additional.fields{}.value.string_value`: valor de `deviceEventClassId`	O ID da classe de eventos do dispositivo.
`deviceFacility`	`observer.product.subproduct`	As instalações do dispositivo.
`deviceProcessName`	`about.process.command_line`	O nome do processo do dispositivo.
`deviceSeverity`	`security_result.severity`	A gravidade do dispositivo.
`deviceTimeZone`	`observer.zone`	O fuso horário do dispositivo.
`deviceVendor`	`metadata.vendor_name`	O fornecedor do dispositivo.
`deviceVersion`	`metadata.product_version`	A versão do dispositivo.
`dpt`	`target.port`	A porta de destino.
`dst`	`target.ip`	O endereço IP de destino.
`duser`	`target.user.user_display_name`	O utilizador de destino.
`eventId`	`additional.fields{}.key`: "eventId", `additional.fields{}.value.string_value`: valor de `eventId`	ID do evento.
`event_time`	`metadata.event_timestamp`	A hora em que o evento ocorreu, analisada a partir da mensagem.
`firewall_action`	`security_result.action_details`	A ação de firewall tomada.
`host`	`principal.hostname`, `intermediary.hostname`	O nome do anfitrião do dispositivo que gera o registo. Usado para o principal e o intermediário em diferentes casos.
`msg`	`security_result.summary`	A mensagem associada ao evento, usada como resumo do resultado de segurança.
`name`	`metadata.product_event_type`	O nome do evento.
`process_name`	`additional.fields{}.key`: "process_name", `additional.fields{}.value.string_value`: Value of `process_name`	O nome do processo.
`p_id`	`target.process.pid`	O ID do processo, convertido numa string.
`sha256`	`principal.process.file.sha256`	O hash SHA256 de um ficheiro, extraído das informações da chave SSH2.
`shost`	`principal.hostname`	Nome do anfitrião de origem.
`source_address`	`principal.ip`	O endereço IP de origem.
`source_port`	`principal.port`	A porta de origem, convertida num número inteiro.
`src`	`principal.ip`	O endereço IP de origem.
`src_ip`	`principal.ip`	O endereço IP de origem.
`src_port`	`principal.port`	A porta de origem, convertida num número inteiro.
`ssh2`	`security_result.detection_fields{}.key`: "ssh2", `security_result.detection_fields{}.value`: valor de `ssh2`	Informações da chave SSH2.
`subtype`	`metadata.product_event_type`	O subtipo do evento.
`task_summary`	`security_result.description`	O resumo da tarefa, usado como descrição do resultado de segurança.
`timestamp`	`metadata.event_timestamp`	A data/hora do evento.
`user`	`target.user.userid`	O utilizador associado ao evento.
`username`	`principal.user.userid`	O nome de utilizador associado ao evento.
`user_name`	`principal.user.userid`	O nome de utilizador.
	`metadata.vendor_name`	Codificado de forma rígida para "Firewall da Juniper". Codificado de forma rígida para "Firewall da Juniper". Codificado de forma rígida para "JUNIPER_JUNOS". Determinado pela lógica do analisador com base no conteúdo do registo. A predefinição é "STATUS_UPDATE" se não for uma mensagem CEF e não for identificado nenhum outro tipo de evento específico. Definido como "NETWORK_HTTP" para mensagens CEF. Se não estiver presente nenhum campo `desc`, este campo é preenchido com o valor `message_description` extraído da mensagem de registo não processada.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.