Raccogliere i log del firewall OPNsense

Questo parser estrae i campi dai log del firewall OPNsense (formati syslog e CSV) e li mappa all'UDM. Utilizza l'analisi di log grok e CSV per i log dell'applicazione "filterlog", gestisce diversi formati di log e protocolli di rete (TCP, UDP, ICMP e così via) per compilare i campi UDM come principal, target, network e security_result. Aggiunge inoltre metadati come il nome del fornitore e del prodotto e determina il tipo di evento in base alla presenza di informazioni principali e di destinazione.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di disporre dell'accesso privilegiato all'interfaccia web di OPNsense.

Recupera il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

1. Per l'installazione su Windows, esegui il seguente script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Per l'installazione di Linux, esegui il seguente script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

1. Accedi al computer su cui è installato BindPlane.

2. Modifica il file config.yaml come segue:

   receivers:
     tcplog:
       # Replace the below port <54525> and IP (0.0.0.0) with your specific values
       listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: testNamespace
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Riavviare BindPlane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Aggiungere la configurazione del server syslog a OPNsense

1. Accedi all'interfaccia web di OPNsense.
2. Vai a Sistema > Impostazioni > Registrazione.
3. Nella sezione Logging remoto, abilita Invia log al server syslog remoto selezionando la casella.
4. Nel campo Server syslog remoti, inserisci l'indirizzo IP del server syslog, inclusa la PORTA (ad esempio 10.10.10.10:54525).
5. Seleziona Local0 come strumento syslog.

6. Imposta il livello Syslog su Alert.

7. Fai clic su Salva per applicare le modifiche.

Tabella di mappatura UDM

Modifiche

2023-11-22

• Parser appena creato.