- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
Barracuda CloudGen 防火墙集成
编辑Barracuda CloudGen 防火墙集成
编辑此集成摄取并解析来自 Barracuda CloudGen 防火墙 的日志。
Barracuda CloudGen 防火墙允许您将来自 Firewall Insights 的事件日志流式传输到 Elastic Agent。 这提供了有关防火墙活动、威胁日志以及与受管防火墙单元的网络、版本和位置相关的信息。数据通过 TCP 连接,使用 CloudGen 防火墙内置的通用 Logstash 输出发送到 Elastic Agent。
设置
编辑有关设置步骤的详细演练,请参阅 如何启用 Filebeat 流到 Logstash 管道。 这些步骤是针对 Logstash 服务器作为目标编写的,其中引用“主机名”的地方,请使用运行此集成的 Elastic Agent 的地址和端口。此集成中不使用 Logstash。
日志
编辑这是 Barracuda CloudGen 防火墙的 log 数据集。 以下是一个示例事件以及可以生成的字段列表。
示例
log 的示例事件如下所示
{ "@timestamp": "2020-11-24T15:02:21.000Z", "agent": { "ephemeral_id": "b620e757-d3b2-4b59-8c2b-cce4d2f17081", "id": "70e82165-776e-4b35-98b8-b0c9491f4b6e", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.5.0" }, "barracuda_cloudgen_firewall": { "log": { "app_rule": "<App>:ALL-APPS", "fw_info": 2007 } }, "data_stream": { "dataset": "barracuda_cloudgen_firewall.log", "namespace": "ep", "type": "logs" }, "destination": { "address": "67.43.156.78", "as": { "number": 35908 }, "bytes": 561503, "geo": { "continent_name": "Asia", "country_iso_code": "BT", "country_name": "Bhutan", "location": { "lat": 27.5, "lon": 90.5 } }, "ip": "67.43.156.78", "mac": "00-0C-29-00-D6-00", "nat": { "ip": "67.43.156.100" }, "packets": 439, "port": 443 }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "70e82165-776e-4b35-98b8-b0c9491f4b6e", "snapshot": true, "version": "8.5.0" }, "event": { "action": "End", "agent_id_status": "verified", "category": [ "network" ], "dataset": "barracuda_cloudgen_firewall.log", "duration": -153934592, "ingested": "2022-09-21T13:30:52Z", "kind": "event", "type": [ "end" ] }, "input": { "type": "lumberjack" }, "labels": { "origin_address": "172.20.0.4:34752" }, "network": { "community_id": "1:HGU1tX9W2VUF5ND2ey3X6Niv/AQ=", "iana_number": "6", "transport": "tcp", "type": "ipv4" }, "observer": { "egress": { "interface": { "name": "eth0" } }, "hostname": "cgf-scout-int", "ingress": { "interface": { "name": "eth0" } }, "product": "ngfw", "serial_number": "4f94abdf7a8c465fa2cd76f680ecafd1", "type": "firewall", "vendor": "Barracuda" }, "related": { "ip": [ "10.17.35.171", "67.43.156.78" ] }, "rule": { "name": "BOX-LAN-2-INTERNET" }, "source": { "address": "10.17.35.171", "bytes": 7450, "ip": "10.17.35.171", "mac": "00-0C-29-9A-0A-78", "nat": { "ip": "10.17.35.175" }, "packets": 129, "port": 40532 }, "tags": [ "barracuda_cloudgen_firewall-log", "forwarded" ] }
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。 这是从事件中提取的日期/时间,通常表示事件由源生成的时间。 如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。 所有事件的必填字段。 |
日期 |
barracuda_cloudgen_firewall.log.app_rule |
应用程序规则名称(例如,“<App>:ALL-APPS”) |
关键字 |
barracuda_cloudgen_firewall.log.fw_info |
有关防火墙执行的操作的详细信息。 更多信息请参阅 此处 |
长整型 |
barracuda_cloudgen_firewall.log.traffic_type |
始终为 “0” |
长整型 |
barracuda_cloudgen_firewall.log.user_type |
Web 日志的用户类型。 如果“user”是用户名,则为 1;如果“user”是 IP 地址,则为 0。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.module |
事件模块 |
常量关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
labels.origin_address |
日志来源的远程地址。 |
关键字 |
labels.origin_client_subject |
启用相互 TLS 时,始发客户端提供的 x.509 证书的主题的专有名称。 |
关键字 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.14.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.10.1 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
0.3.1 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |