Juniper网络屏幕操作系统
Juniper Networks ScreenOS,以前称为Juniper NetScreen Firewall,是一系列安全设备中的实时防火墙硬件,您可以通过本地internet或Juniper web控制台访问这些设备。
您可以配置Juniper ScreenOS的集成服务网关(ISG),将系统日志发送到InsightIDR收集器,以收集防火墙事件。
要从Juniper收集ScreenOS ISG事件,请执行以下操作:
配置系统日志
要从ScreenOS设备配置系统日志转发,请执行以下操作:
- 登录到您的Netscreen管理控制台。
- 在左侧菜单中,展开报告设置树并选择系统日志页
- 如果您使用的是较旧版本的ScreenOS,请通过配置>报告设置>系统日志。
- 检查启用系统日志框以启用系统日志。
- 点击+添加新主机的加号按钮。
- 在“配置”窗口中,输入InsightIDR收集器的IP地址。
- 在“端口”字段中,输入收集器上接受这些防火墙日志的唯一端口。
- 在“安全设施”下拉列表中,选择本地0选项此选项将每个安全事件记录到syslog。
- 在“设施”下拉列表中,选择本地1选项,该选项将捕获以下所有级别的事件:
- Local1=Info
- Local2=通知
- Local3=警告
- Local4=错误
- Local5=关键
- Local6=警报
- Local7=紧急情况
- 在“传输”下拉列表中,选择传输控制协议这是你的选择。
- 点击好啊按钮系统日志主机将显示在表中。
- 点击申请按钮完成配置。
创建防火墙事件源
现在在InsightIDR中创建Juniper Networks ScreenOS事件源以接收日志。
为此:
- 从仪表板中选择数据收集在左边的菜单上。
- 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击防火墙偶像此时会出现“添加事件源”面板。
- 选择您的收集器并选择刺柏网筛作为事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配的。
- 可选择发送未过滤原木.
- 配置您的默认域还有高级设置.
- 选择系统日志作为你的数据收集方法,输入在Juniper配置中指定的端口,然后选择传输控制协议作为你的协议。
- 下载Rapid7证书并在此处按照Juniper配置进行安装:https://kb.juniper.net/InfoCenter/index?page=content&id=KB4777.
- 点击拯救按钮
验证配置
在InsightIDR中完成事件源的创建后,应该会在日志搜索中看到日志。
InsightIDR需要以下格式的日志:
1.
<133>NetScreen device\u pri\u 01:NetScreen device\u id=nsisg2000a[Root]system-notification-00257(流量):start\u time=“2014-04-11 14:11:08”duration=0 policy\u id=1245 service=syslog proto=17 src zone=Global dst zone=Global action=Deny sent=0 rcvd=390 src=1.2.3.4 dst=5.6.7.8 src\u port=50000 dst=500 session\u id=0原因=0拒绝流量
2.
3.
<133>netschr\u pri\u 01:NetScreen device\u id=nsisg2000a[Root]system-notification-00257(流量):start\u time=“2014-04-11 14:10:58”duration=9 policy_id=2051 service=http proto=6 src zone=Partners dst zone=DMZ action=Permit sent=817 rcvd=2293 src=1.2.3.4 dst=5.6.7.8 src_port=4000 dst_port=8080 src xlated ip=1.2.3.4 port=4000 dst xlated ip=5.6.7.8 port=8080 session_id=123456;=Close-TCP FIN
4.
示例日志来自Integrated Security Gateway(ISG)2000a系列ScreenOS 6.0设备。
这页对你有帮助吗?