瞻博网络屏幕

Juniper Networks ScreenOS,原名Juniper NetScreen Firewall,是一系列安全设备中的实时防火墙硬件,您可以通过本地互联网或Juniper web控制台访问这些设备。

您可以配置Juniper Screenos的集成服务网关(ISG)以将Syslog发送到InsightIdr收集器,以便收集防火墙事件。

从Juniper收集ScreenOS ISG事件:

  1. 配置syslog.
  2. 创建防火墙事件源

配置syslog.

要从ScreenOS设备配置syslog转发:

  1. 登录到Netscreen管理控制台。
  2. 在左侧菜单中,展开报告的设置树,选择syslog.页面。
    • 如果您使用的是较旧版本的屏幕,则由导航>上报设置> Syslog日志。
  3. 检查启用syslog.框以启用syslog。
  4. 单击+加按钮添加一个新主机。
  5. 在“配置”窗口中,输入InsightIdr收集器的IP地址。
  6. 在“端口”字段中,在收集器上输入将接受这些防火墙日志的唯一端口。
  7. 在“安全设施”下拉框中,选择local0.选项。此选项将每个安全事件记录到syslog。
  1. 在“设施”下拉框中,选择local1选项,它将捕获以下所有级别的事件:
    • local1 = Info.
    • local2 = notify.
    • Local3 =警告
    • local4 =错误
    • Local5 =至关重要
    • Local6 =警报
    • Local7 =紧急
  2. 在“Transport”下拉框中,选择TCP作为您的选择。
  3. 单击好的按钮。syslog主机将出现在表中。
  4. 单击应用按钮,完成配置。

创建防火墙事件源

现在在InsightIDR中创建Juniper Networks ScreenOS事件源以获取日志。

这样做:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择您的收集器和选择瞻博网络网上屏幕作为事件事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级设置
  8. 选择syslog.身为你的数据收集方法,输入您在Juniper配置中指定的端口,并选择TCP作为您的协议。
  9. 下载RAPID7证书并按照Juniper的配置安装:https://kb.juniper.net/InfoCenter/index?page=content&id=KB4777
  10. 单击节省按钮。

验证配置

在InsightIdr中的创建事件源完成后,您应该看到日志搜索中的日志。

InsightIDR的日志格式如下:

         
1
<133> netscr_pri_01:netscreen device_id = nsisg2000a [root]系统通知-00257(流量):start_time =“2014-04-11 14:11:08”持续时间= 0 policy_id = 1245服务= syslog proto = 17 src zone =全局DST ZONE =全局动作=拒绝发送= 0 rcvd = 390 src = 1.2.3.4 dst = 5.6.7.8 src_port = 50000 dst_port = 500 session_id = 0原因=拒绝流量
2
3.
<133>netscr_pri_01: NetScreen device_id=nsisg2000a [Root]system-notification-00257(traffic):start_time="2014-04-11 14:10:58" duration=9 policy_id=2051 service=http proto=6 src zone=Partners dst zone=DMZ action=Permit sent=817 rcvd=2293 src=1.2.3.4 dst=5.6.7.8 src_port=4000 dst_port=8080 src-xlated ip=1.2.3.4 port=4000 dst-xlated ip=5.6.7.8 port=8080 session_id=123456 reason=Close - TCP FIN
4

示例日志来自集成的安全网关(ISG)2000A系列屏幕6.0设备。