Collecter les journaux Netgate pfSense

Compatible avec:

Ce document explique comment collecter les journaux Netgate pfSense à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion PFSENSE.

Configurer Netgate pfSense

  1. Connectez-vous à l'interface pfSense avec des identifiants d'administrateur.
  2. Dans les paramètres du journal global, procédez comme suit :
    1. Sélectionnez État > Journaux système > Paramètres.
    2. Dans l'onglet Paramètres, sélectionnez Options d'enregistrement générales, puis procédez comme suit :
      1. Dans le champ Format des messages de journal, sélectionnez syslog (RFC 5424, avec des codes temporels RFC 3339 précis à la microseconde).
      2. Dans le champ Journaliser les blocages par défaut du pare-feu, cochez les cases suivantes :
        • Journaliser les paquets correspondant aux règles de blocage par défaut du jeu de règles
        • Paquet de journalisation correspondant aux règles de transmission par défaut définies dans l'ensemble de règles
        • Journaliser les paquets bloqués par les règles "Bloquer les réseaux bogon"
        • Journaliser les paquets bloqués par les règles "Bloquer les réseaux privés"
  3. Pour enregistrer les nouveaux paramètres, cliquez sur Enregistrer.

Envoyer les journaux du pare-feu à Google SecOps

  1. Dans les paramètres du journal global, sélectionnez État > Journaux système > Paramètres.
  2. Dans l'onglet Settings (Paramètres), sélectionnez Remote logging options (Options de journalisation à distance), puis procédez comme suit :
    • Dans le champ Activer la journalisation à distance, cochez la case Envoyer des messages de journal au serveur syslog distant.
    • Dans le champ Adresse source, conservez la valeur par défaut Tout.
    • Dans le champ Protocole IP, si l'adresse source est sélectionnée comme valeur par défaut, vous n'avez pas besoin de spécifier l'adresse IP. Sinon, saisissez l'adresse IP.
    • Dans Serveurs de journaux distants, spécifiez l'adresse IP du transpondeur Google SecOps.
    • Dans Contenu du journal syslog distant, cochez la case Événements du pare-feu.
  3. Pour enregistrer les modifications, cliquez sur Enregistrer.

Configurer le transmetteur Google SecOps pour ingérer les journaux Netgate pfSense

  1. Sélectionnez Paramètres du SIEM > Transferts.
  2. Cliquez sur Ajouter un forwarder.
  3. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  4. Cliquez sur Envoyer, puis sur Confirmer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  6. Sélectionnez pfSense comme Type de journal.
  7. Dans le champ Type de collecteur, sélectionnez Syslog.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google SecOps.

Référence du mappage de champs

Cet analyseur de pare-feu pfSense extrait des champs des messages syslog à l'aide de modèles Grok, et gère différents formats de journaux, y compris les événements DHCP et de pare-feu. Il mappe ensuite ces champs extraits sur la UDM, enrichissant les données avec des informations contextuelles telles que les adresses IP, les adresses MAC, les noms d'utilisateur et les détails du réseau.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
application principal.application La valeur est extraite du message de journal à l'aide de modèles Grok. Pour les messages syslog, le nom de l'application se trouve généralement après l'hôte et le code temporel.
commande principal.process.command_line Extrait du champ "description" lorsque le journal indique une exécution de commande.
description metadata.description Le champ "description" est mappé sur la description des métadonnées UDM, sauf pour les journaux d'application syslog-ng, où il est mappé sur metadata.description. Pour les événements DHCP, le dhcp_type est ajouté au début de la description.
dhcp_type metadata.product_event_type Type de message DHCP (par exemple, (DHCPDISCOVER, DHCPOFFER) est extrait et mappé.
hôte intermediary.hostname OU intermediary.ip Si la valeur de l'hôte est une adresse IP valide, elle est mappée sur intermediary.ip. Sinon, il est mappé sur intermediary.hostname.
hôte principal.hostname, principal.asset.hostname En l'absence d'adresse IP principale, l'hôte est traité comme le nom d'hôte principal.
mac principal.mac, network.dhcp.chaddr L'adresse MAC associée à une requête DHCP est extraite et mappée.
src_ip principal.ip, principal.asset.ip Extrait de formats de journaux spécifiques à l'aide d'un modèle Grok.
src_mac principal.mac Extrait de formats de journaux spécifiques à l'aide d'un modèle Grok.
dst_mac target.mac Extrait de formats de journaux spécifiques à l'aide d'un modèle Grok.
timestamp metadata.event_timestamp L'horodatage est extrait du message de journal et converti au format d'horodatage UDM. Les informations sur le fuseau horaire (tz) sont ajoutées au code temporel avant la conversion, le cas échéant.
timestamp_no_year metadata.event_timestamp Si un code temporel sans année est présent, il est analysé et l'année en cours est ajoutée lors du processus d'analyse.
utilisateur principal.user.userid Le nom d'utilisateur associé à un événement est extrait et mappé.
column1 security_result.rule_id Mappé à partir de la première colonne CSV si la description est au format CSV.
column6 security_result.rule_type Mappé à partir de la sixième colonne CSV si la description est au format CSV.
column7 security_result.action Mappé à partir de la septième colonne CSV si la description est au format CSV. Converties en "BLOCK" ou "ALLOW".
column8 network.direction Mappé à partir de la huitième colonne CSV si la description est au format CSV. Converti en "INBOUND" ou "OUTBOUND".
column13 network.ip_protocol (si UDP ou ICMP) Mappé à partir de la treizième colonne CSV si la description est au format CSV et que le protocole est UDP ou ICMP. Pour les événements TCP/UDP, il permet de créer un champ supplémentaire avec la clé "Id".
column16 principal.ip, principal.asset.ip (si IPv6 et colonne 9 est 6) Mappé à partir de la seizième colonne CSV si la description est au format CSV et que la colonne 9 est 6. Pour les événements TCP/UDP, il est utilisé pour l'identification du protocole si la colonne 9 est 4.
column17 target.ip, target.asset.ip (si IPv6 et non ip_failure) Mappé à partir de la 17e colonne CSV si la description est au format CSV, que la colonne9 est 6 et que la valeur est une adresse IP valide. Pour les événements TCP/UDP, il est utilisé pour l'identification du protocole.
column18 principal.port (si UDP) Mappé à partir de la 18e colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements TCP/UDP, il est mappé sur network.received_bytes.
column19 target.port (si UDP) Mappé à partir de la 19e colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les événements DHCP, il est mappé sur network.dhcp.yiaddr. Pour les autres événements, il est mappé sur principal.ip, principal.asset.ip.
column20 additional.fields (clé: "data_length") (si UDP) Mappé à partir de la vingtième colonne CSV si la description est au format CSV et que le protocole est UDP. Pour les autres événements, il est mappé sur target.ip, target.asset.ip.
column21 principal.port (si TCP/UDP) Mappé à partir de la vingt et unième colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column22 target.port (si TCP/UDP) Mappé à partir de la vingt-deuxième colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column23 additional.fields (clé: "data_length") (si TCP/UDP) Mappé à partir de la vingt-troisième colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column24 additional.fields (clé: "tcp_flags") (si TCP) Mappé à partir de la vingt-quatrième colonne CSV si la description est au format CSV et que le protocole est TCP.
column25 additional.fields (clé: "sequence_number") (si TCP/UDP) Mappé à partir de la vingt-cinquième colonne CSV si la description est au format CSV et que le protocole est TCP ou UDP.
column29 additional.fields (clé: "tcp_options") (si TCP) Mappé à partir de la vingt-neuvième colonne CSV si la description est au format CSV et que le protocole est TCP.
compression_algo additional.fields (clé: "Compression Algorithm") Extrait du champ de description et ajouté en tant que champ supplémentaire.
décroiss. metadata.description Extrait du champ de message et utilisé comme description.
principal_ip principal.ip, principal.asset.ip Extrait du champ de description, représente l'adresse IP principale.
principal_username principal.user.userid Extrait du champ "Description" et représente le nom d'utilisateur principal.
état security_result.detection_fields (clé: "status") Extrait du champ de description et ajouté en tant que champ de détection dans le résultat de sécurité.
target_host target.hostname, target.asset.hostname Extrait du champ "Description" et représente le nom d'hôte cible.
src_port principal.port Extrait du champ "Description" et représente le port source. Déterminé en fonction de divers champs de journal et de la logique de l'analyseur. Il peut s'agir de NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE ou GENERIC_EVENT. Code codé en dur sur "PFSENSE". Code codé en dur sur "PFSENSE". Code codé en dur sur "PFSENSE". Définissez cette valeur sur "DHCP" pour les événements DHCP. Définissez la valeur sur "BOOTREQUEST" pour DHCPDISCOVER et DHCPREQUEST, et sur "BOOTREPLY" pour DHCPOFFER et DHCPACK. Définissez la valeur sur "DISCOVER", "REQUEST", "OFFER" ou "ACK" en fonction du champ dhcp_type.

Modifications

2024-05-08

  • Ajout de modèles Grok pour analyser le champ "description".
  • Mappage de "principal_ip" sur "principal.ip" et "principal.asset.ip".
  • Mappage de "src_port" sur "principal.port".
  • "compression_algo" a été mappé sur "additional.fields".
  • Mappage de "status" sur "security_result.detection_fields".
  • Mappage de "principal_username" sur "principal.user.userid".
  • Mappage de "target_host" sur "target.hostname" et "target.asset.hostname".

2023-05-05

  • Ajout de la conversion en majuscules avant le mappage de "network.ip_protocol".
  • "column18" a été mappé sur "principal.port" lorsque le protocole est présent dans "column13".
  • "column19" a été mappé sur "target.port" lorsque le protocole est présent dans "column13".
  • Mappage de "column20" sur "additional.fields" en tant que "data-length" lorsque le protocole est présent dans "column13".

2023-02-20

  • Ajout d'un modèle Grok pour prendre en charge le nouveau format de journal de filtrage et le format syslog-ng.

2022-10-04

  • Le nom de l'appareil de pare-feu a été remappé sur intermediary.hostname au lieu de principal.hostname pour les journaux où event_types est "NETWORK_CONNECTION".

2022-09-05

  • Enhancement-
  • Pour les journaux au format CSV, les champs suivants sont mappés :
  • Ajout d'un modèle Grok pour récupérer les adresses IP et MAC.
  • "column19", qui correspond à "source-address", a été mappé sur "network.dhcp.yiaddr".
  • Mappage de "security_result.action" sur "ALLOW" lorsque "column7" est égal à "pass".
  • Lorsque "column9" est égal à "6", ce qui indique "IPv6", les champs suivants sont mappés:
  • Mappage de "column17", qui correspond à "destination-address", sur "target.ip".
  • Mappage de "column16", qui correspond à "source-address", sur "principal.ip".
  • "event_type" a été mappé sur "NETWORK_CONNECTION" lorsque "column16" et "column17" ne sont pas nuls.
  • "column12", qui correspond à "hop_limit", a été mappé sur "additional.fields".
  • "column13", qui correspond à "ip_protocol", a été mappé sur "network.ip_protocol".
  • Migration des analyseurs personnalisés vers l'analyseur par défaut.
  • Ajout d'une vérification conditionnelle pour définir "event_type" sur "STATUS_UPDATE"

2022-06-30

  • Mappage de "ttl" sur "additional.fields".
  • Mappage de "Id" sur "additional.fields".
  • "Décalage" a été mappé sur "additional.fields".
  • "Longueur des données" a été mappé sur "additional.fields".
  • Mappage de "Longueur" sur "additional.fields".
  • Mappage de "Numéro de séquence" sur "additional.fields".

2022-04-11

  • Analyseur nouvellement créé