Recopila registros de firewall de OPNsense

Este analizador extrae campos de los registros del firewall de OPNsense (formatos syslog y CSV) y los asigna a la UDM. Usa el análisis de grok y CSV para los registros de la aplicación "filterlog" y controla diferentes formatos de registro y protocolos de red (TCP, UDP, ICMP, etc.) para propagar campos de la UDM, como principal, target, network y security_result. También agrega metadatos, como el nombre del proveedor y del producto, y determina el tipo de evento según la presencia de información principal y de destino.

Antes de comenzar

• Asegúrate de tener una instancia de Google Security Operations.
• Asegúrate de tener acceso con privilegios a la interfaz web de OPNsense.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede a la máquina en la que está instalado BindPlane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     tcplog:
       # Replace the below port <54525> and IP (0.0.0.0) with your specific values
       listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: testNamespace
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de BindPlane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Agrega la configuración del servidor Syslog a OPNsense

1. Accede a la interfaz web de OPNsense.
2. Ve a Sistema > Configuración > Registros.
3. En la sección Registro remoto, marca la casilla para habilitar Enviar registros al servidor de syslog remoto.
4. En el campo Servidores syslog remotos, ingresa la dirección IP del servidor syslog, incluido el PUERTO (por ejemplo, 10.10.10.10:54525).
5. Selecciona Local0 como la instalación de syslog.

6. Establece el nivel de Syslog como Alert.

7. Haz clic en Guardar para aplicar los cambios.

Tabla de asignación de UDM

Cambios

2023-11-22

• Sin embargo, el analizador se creó recientemente.