Suscríbete
Marketplace Insights
Marketplace
Insights
Asociate
Asociate
Imagen 1
Imagen 2
Imagen 3
Imagen 4
Imagen 5
Imagen 6
Imagen 1
Imagen 2
Imagen 3
Imagen 4
Imagen 5
Imagen 6

LoongCollector: Práctica de Ingesta de Registros para Cortafuegos Empresariales

Redactor de Contenido07 mins
LoongCollector: Práctica de Ingesta de Registros para Cortafuegos Empresariales - Marketplace Insights - Imagen generada por IA

LoongCollector: Práctica de Ingestión de Registros de Seguridad Estandarizados para Escenarios de Firewalls Empresariales

En un entorno digital cada vez más interconectado, las amenazas cibernéticas muestran tendencias de diversificación y expansión cruzada de plataformas. Para enfrentar estos desafíos, las empresas deben recopilar registros de múltiples dimensiones, incluyendo firewalls y sistemas de autenticación, para construir un sistema de conciencia situacional de seguridad completo. Sin embargo, la recopilación de logs de diferentes proveedores puede resultar en formatos no estructurados y campos fragmentados, lo que complica el análisis y aumenta los costos de integración de datos.

LoongCollector surge como una herramienta ligera de recolección de logs que permite la ingestión estandarizada de logs de múltiples fuentes, facilitando la configuración flexible y la compatibilidad con formatos de registro comunes. Su diseño no solo se enfoca en la «recolección», sino que también establece las bases para el análisis de seguridad posterior, detección de amenazas y auditorías de cumplimiento mediante reglas de ingestión flexibles.

Preparación para la Ingestión de Logs

  • Crear un Logstore para el almacenamiento de logs y configurar índices relacionados para consulta y análisis.
  • Instalar LoongCollector en el servidor y crear un grupo de máquinas en el Logstore.

Funcionamiento de LoongCollector

Los logs de firewalls de proveedores de ciberseguridad pueden ser enviados al servidor de colección mediante el protocolo Syslog. LoongCollector se encarga de recopilar y analizar estos logs antes de escribirlos en el repositorio de logs SLS de Alibaba Cloud. Para obtener más información sobre el principio de funcionamiento, consulte la documentación.

Práctica de Ingestión de Logs de Firewalls Empresariales

A continuación, se describen las configuraciones específicas para la recolección de logs de diferentes proveedores de firewalls, tales como Chaitin, FortiGate y Palo Alto.

Logs de Chaitin WAF

Chaitin WAF es un firewall de aplicación web que proporciona protección de seguridad web eficiente y precisa. Para habilitar la transmisión de logs a través de Syslog, se deben realizar las siguientes configuraciones:

  • Acceder a la página de configuración del sistema y habilitar la función de transmisión de Syslog.
  • Utilizar el protocolo UDP para la transmisión de logs, asegurándose de que el formato de memoria cumpla con el RFC-5424.

Configuración de LoongCollector para Chaitin WAF

El plugin de procesamiento de LoongCollector puede expandir los campos de contenido de los logs de Chaitin WAF en pares clave-valor JSON. A continuación se presenta un ejemplo de configuración:

{
    "inputs": [{
        "type": "service_syslog",
        "detail": {
            "Address": "udp://0.0.0.0:5144",
            "ParseProtocol": "rfc5424"
        }
    }],
    "processors": [{
        "detail": {
            "ExpandArray": false,
            "SourceKey": "_content_"
        },
        "type": "processor_json"
    }]
}

Resultados de la Recolección de Logs

Los logs recolectados se estructuran en un formato estándar de pares clave-valor JSON, permitiendo la creación de índices y consultas, así como el análisis y visualización de logs normalizados.

Conexión a Logs de FortiGate

FortiGate, un firewall de próxima generación de Fortinet, admite la transmisión de logs en múltiples formatos, incluyendo el formato CEF. Para configurar la recolección de logs, se recomienda:

  • Configurar la transmisión de Syslog en el formato deseado.
  • Recibir logs en el formato predeterminado y aplicar configuraciones para su correcta expansión y análisis.

Ingestión de Logs de Palo Alto

Palo Alto Networks permite la recolección de diversos tipos de logs mediante la configuración de un servidor Syslog. Los logs son enviados en un formato estándar que facilita el análisis y la visualización de la información.

En conclusión, la práctica de recolección de logs con LoongCollector demuestra que la recolección unificada de logs de múltiples fuentes no es simplemente una función de «tubería», sino que considera la compatibilidad y la extensibilidad del formato, ayudando a reducir el problema de «islas de datos» en el análisis de seguridad empresarial. En el futuro, se espera que, además de los productos de firewall, se puedan recopilar logs de otros escenarios de seguridad utilizando LoongCollector.

Fuente: LoongCollector Security Log Ingestion Practice

Nota: Este contenido original ha sido modificado con IA y revisado por un especialista. Imagen generada por IA.

Deja una respuesta

Contenido relacionado

Footer Premium