Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar el registro del sistema para dispositivos de seguridad

Descripción general del registro del sistema para dispositivos de seguridad

Junos OS admite la configuración y supervisión de mensajes de registro del sistema (también denominados mensajes syslog). Puede configurar archivos para registrar mensajes del sistema y también asignar atributos, como niveles de gravedad, a los mensajes. Las solicitudes de reinicio se registran en los archivos de registro del sistema, que puede ver con el comando.show log

Esta sección contiene los siguientes temas:

Registros del plano de control y del plano de datos

Junos OS genera mensajes de registro independientes para registrar los eventos que se producen en los planos de control y datos del sistema.

  • Los registros del plano de control, también denominados registros del sistema, incluyen eventos que se producen en la plataforma de enrutamiento. El sistema envía eventos del plano de control al proceso en el motor de enrutamiento, que luego maneja los eventos mediante políticas de Junos OS, generando mensajes de registro del sistema o ambos.eventd Puede elegir enviar los registros del plano de control a un archivo, terminal de usuario, consola de plataforma de enrutamiento o máquina remota. Para generar registros del plano de control, utilice la instrucción en el nivel de jerarquía.syslog[system]

  • Los registros del plano de datos, también denominados registros de seguridad, incluyen principalmente eventos de seguridad que se controlan dentro del plano de datos. Los registros de seguridad pueden estar en formato de texto o binario, y pueden guardarse localmente (modo de evento) o enviarse a un servidor externo (modo de secuencia). El formato binario es necesario para el modo de transmisión y se recomienda conservar espacio de registro en el modo de evento.

    Tenga en cuenta lo siguiente:

    • Los registros de seguridad se pueden guardar localmente (en caja) o externamente (fuera de la caja), pero no ambos.

    • SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800 dispositivos utilizan de forma predeterminada el modo de transmisión. Para especificar el formato binario y un servidor externo, consulte Configuración de archivos de registro de seguridad binaria fuera de la caja.Configurar archivos de registro de seguridad binaria fuera de la caja

      Nota:

      Es posible que se eliminen los registros si configura el registro en modo de evento en estos dispositivos.

      A partir de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo es el modo de transmisión. Antes de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo era el modo de evento.

    • Además de las versiones 18.4R1, 18,4R2, 19.1 y 19.2R1 de Junos OS, en todas las demás versiones a partir de Junos OS versión 18.3R3, el modo de registro predeterminado para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M es el modo de transmisión. Los eventos del plano de datos se escriben en los archivos de registro del sistema de manera similar a los eventos del plano de control. Para especificar el formato binario de los registros de seguridad, consulte Configuración de archivos de registro de seguridad binarios fuera de la caja.Configurar archivos de registro de seguridad binaria fuera de la caja

    A partir de la versión 20.2R1 de Junos OS, admitimos el escape en el reenvío de registros de flujo y la generación de informes en caja para evitar errores de análisis. El modo de transmisión admite el escape y los formatos cuando los registros no se envían a procesar.sd-syslogbinary eventd Para los registros enviados al proceso, recomendamos no habilitar una opción, ya que el proceso ha habilitado el escape para el registro de estructura.eventdescapeeventd El modo Evento solo admite escape en formato.binary De forma predeterminada, la opción está desactivada.escape Debe habilitar la opción mediante el comando.escapeset security log escape

Servidor de registro del sistema redundante

El tráfico de registro del sistema de seguridad destinado a servidores remotos se envía a través de los puertos de interfaz de red, que admiten dos destinos de registro del sistema simultáneos. Cada destino de registro del sistema debe configurarse por separado. Cuando se configuran dos direcciones de destino de registro del sistema, se envían registros idénticos a ambos destinos. Aunque se pueden configurar dos destinos en cualquier dispositivo que admita la característica, agregar un segundo destino es útil principalmente como copia de seguridad redundante para implementaciones de clústeres de chasis independientes y activas/configuradas para copias de seguridad.

Está disponible la siguiente información de servidor redundante:

  • Instalación: cron

  • Description: Proceso de programación de cron

  • Nivel de gravedad (de mayor a menor gravedad): debug

  • Description: Mensajes de depuración de software

Formato binario para registros de seguridad

Junos OS genera mensajes de registro independientes para registrar los eventos que se producen en el plano de control y en el plano de datos del sistema. El plano de control supervisa los eventos que se producen en la plataforma de enrutamiento. Estos eventos se registran en los mensajes de registro del sistema. Para generar mensajes de registro del sistema, utilice la instrucción en el nivel de jerarquía.syslog[system]

Los mensajes de registro del plano de datos, denominados mensajes de registro de seguridad, registran los eventos de seguridad que el sistema controla directamente dentro del plano de datos. Para generar mensajes de registro de seguridad, utilice la instrucción en el nivel jerárquico .log[security]

Los mensajes de registro del sistema se mantienen en archivos de registro en formatos basados en texto, como BSD Syslog, Structured Syslog y WebTrends Enhanced Log Format (WELF).

Los mensajes de registro de seguridad también se pueden mantener en formatos basados en texto. Sin embargo, dado que el registro de seguridad puede producir grandes cantidades de datos, los archivos de registro basados en texto pueden consumir rápidamente recursos de almacenamiento y CPU. En función de la implementación del registro de seguridad, un archivo de registro en formato binario puede proporcionar un uso más eficaz del almacenamiento en caja o fuera de la caja y una mejor utilización de la CPU. El formato binario para los mensajes de registro de seguridad está disponible en todos los firewalls de la serie SRX.

Cuando se configura en modo de evento, los mensajes de registro de seguridad generados en el plano de datos se dirigen al plano de control y se almacenan localmente en el dispositivo. Los mensajes de registro de seguridad almacenados en formato binario se mantienen en un archivo de registro independiente del que se usa para mantener los mensajes de registro del sistema. No se puede acceder a los eventos almacenados en un archivo de registro binario con comandos avanzados de secuencias de comandos de registro destinados a archivos de registro basados en texto. Un comando operativo de CLI independiente admite la decodificación, conversión y visualización de archivos de registro binarios almacenados localmente en el dispositivo.

Cuando se configuran en modo de secuencia, los mensajes de registro de seguridad generados en el plano de datos se transmiten a un dispositivo remoto. Cuando estos mensajes se almacenan en formato binario, se transmiten directamente a un servidor de recopilación de registros externo en un formato binario específico de Juniper. Los archivos de registro binarios almacenados externamente solo se pueden leer con Juniper Secure Analytics (JSA) o Security Threat Response Manager (STRM).

A partir de Junos OS versión 17.4R2 y posteriores, en dispositivos serie SRX300, SRX320, SRX340, SRX345 e instancias de firewall virtual vSRX, cuando el dispositivo está configurado en modo de secuencia, puede configurar un máximo de ocho hosts de registro del sistema. En Junos OS versión 17.4R2 y versiones anteriores, solo puede configurar tres hosts de registro del sistema en el modo de secuencia. Si configura más de tres hosts de registro del sistema, aparecerá el siguiente mensaje de error.error: configuration check-out failed

Para obtener información acerca de cómo configurar registros de seguridad binarios en caja (modo de evento), consulte Configuración de archivos de registro de seguridad binaria en caja.Configurar archivos de registro de seguridad binaria en caja Para obtener información acerca de cómo configurar registros de seguridad binarios fuera de la caja (modo de secuencia), consulte Configuración de archivos de registro de seguridad binaria fuera de la caja.Configurar archivos de registro de seguridad binaria fuera de la caja

Registro e informes en la caja

En este tema se describe la funcionalidad de la CLI de registro e informes internos, así como los aspectos de diseño de los informes integrados para los dispositivos SRX.

Descripción general

El registro de tráfico en caja en unidades de estado sólido (SSD) admite ocho servidores de registro o archivos externos.

Se agrega un archivo XML todo en uno que contiene toda la información de los registros de tráfico. El archivo XML también genera todos los archivos de encabezado de registro y los documentos relacionados con el registro de tráfico.

Un nuevo proceso (demonio) denominado demonio de administración de registros locales (llmd ) se admite en las tarjetas de procesamiento de servicios 0 (SPCs0) para controlar el registro de tráfico en caja. El tráfico producido por el flujo en SPC se enumera en los registros de tráfico. El llmd guarda estos registros en el SSD local. Los registros de tráfico se guardan en cuatro formatos diferentes. Consulte para obtener información sobre los formatos de registro.Tabla 1

Tabla 1: Formatos de registro
Formato de registro Description Predeterminado
Syslog
  • Formato de registro tradicional para guardar registros.
SD-syslog
  • Formato de archivo de registro del sistema estructurado.
  • La mayoría descriptiva y larga, por lo tanto, ocupa más espacio para almacenar.
  • Lleva más tiempo transferir los registros guardados en este formato debido al tamaño.
 -
Welf
  • WebTrends Enhanced Log File Format es un formato de intercambio de archivos de registro estándar de la industria.
  • Compatible con Firewall Suite 2.0 y versiones posteriores, Firewall Reporting Center 1.0 y versiones posteriores, y Security Reporting Center 2.0 y versiones posteriores.
 -
Binario
  • Formato propietario de Juniper.
  • Menos descriptivo entre todos los demás formatos de registro y ocupa el menor espacio en comparación con otros formatos de registro.
 -
protobuf

  • El mecanismo extensible de Google para serializar datos estructurados, neutral en cuanto al idioma y la plataforma de Google.

  • Se utiliza un método diferente para codificar los datos.

  • El tamaño del archivo es pequeño en comparación con syslog y sd-syslog.

  

El mecanismo de informes en caja es una mejora de la funcionalidad de registro existente. La funcionalidad de registro existente se modifica para recopilar registros de tráfico del sistema, analizar los registros y generar informes de estos registros en forma de tablas mediante la CLI. La función de informes en caja está destinada a proporcionar una interfaz simple y fácil de usar para ver los registros de seguridad. Los informes en caja son páginas J-Web fáciles de usar de varios eventos de seguridad en forma de tablas y gráficos. Los informes permiten a la administración de seguridad de TI identificar la información de seguridad de un vistazo y decidir rápidamente las acciones a tomar. Se realiza un análisis exhaustivo de los registros (según los tipos de sesión) para funciones como pantalla, IDP, seguridad de contenido e IPSec.

Puede definir filtros para los datos de registro sobre los que se informa en función de los siguientes criterios:

Nota:

Las condiciones superior, detallada e intervalenta no se pueden utilizar al mismo tiempo.

  • top <number>: esta opción le permite generar informes para eventos de seguridad principales como se especifica en el comando. Por ejemplo: los 5 principales ataques IPS o las 6 URL principales detectadas a través de Content Security.

  • in-detail <number>: esta opción le permite generar contenido de registro detallado.

  • in-interval <time-period>: esta opción permite generar los eventos registrados entre determinados intervalos de tiempo.

  • summary—Esta opción permite generar el resumen de los eventos. De esta manera, puede ajustar el informe a sus necesidades y mostrar solo los datos que desea usar.

El número máximo en el intervalo que muestra el recuento en intervalos es 30. Si se especifica una gran duración, los contadores se ensamblan para garantizar que el intervalo de entrada máximo sea inferior a 30.

Tanto en detalle como en resumen tienen la opción "todos", ya que diferentes tablas tienen atributos diferentes (como la tabla de sesión no tiene el atributo "motivo" pero Content Security sí), la opción "todos" no tiene ningún filtro excepto el tiempo de inicio y el tiempo de finalización. Si hay algún otro filtro que no sea la hora de inicio y la hora de finalización, se muestra un error.

Por ejemplo: root@host> mostrar el informe del registro de seguridad en detalle todos los motivos de la razón1

Los registros del firewall de la aplicación para la visibilidad de aplicaciones y usuarios enumerarán las aplicaciones y las aplicaciones anidadas. Cuando los registros de estas características enumeran aplicaciones anidadas, las aplicaciones anidadas se enumeran en J-Web. Cuando los registros enumeran las aplicaciones anidadas como no aplicables o desconocidas, solo las aplicaciones se enumeran en J-Web.

Utilice los siguientes comandos de CLI para ver las aplicaciones y los usuarios de todas las aplicaciones y la lista de aplicaciones anidadas:

  • Para las principales aplicaciones anidadas por recuento:show security log report top session-close top-number <number> group-by application order-by count with user

  • Para las principales aplicaciones anidadas por volumen:show security log report top session-close top-number <number> group-by application order-by volume with user

  • Para el usuario superior por recuento con aplicación anidada:show security log report top session-close top-number <number> group-by user order-by count with application

La función de informes en caja está habilitada de forma predeterminada cuando se cargan las configuraciones predeterminadas de fábrica en el firewall de la serie SRX con Junos OS versión 15.1X49-D100 o posterior.

Si está actualizando el firewall de la serie SRX desde una versión de Junos OS anterior a Junos OS 15.1X49-D100, el firewall de la serie SRX hereda la configuración existente y la función de informes integrados está deshabilitada de forma predeterminada. Debe configurar el comando y el comando para habilitar la función de informes en caja en el dispositivo que se actualiza.set security log reportset security log mode stream

A partir de Junos OS versión 19.3R1 , la configuración predeterminada de fábrica no incluye la configuración de informes en caja para aumentar la vida útil de la unidad de estado sólido (SSD). Puede habilitar la función de informes en caja configurando el comando de la CLI en la jerarquía.set security log report[edit security log]

Consulte la Guía del usuario de J-Web para dispositivos de la serie SRX para realizar esta tarea en la interfaz de usuario de J-Web .https://www.juniper.net/documentation/us/en/software/jweb-srx21.2/jweb-srx/index.html

A partir de Junos OS versión 21.3R1, los registros de informes en caja se almacenan en el sistema de archivos de memoria (MFS) si no hay ningún SSD externo. El número máximo de registros que puede guardar en MFS es menor que el que puede guardar en un SSD externo. Esto evita el agotamiento y la falla de la memoria. Los registros guardados en MFS no se conservan después del reinicio del dispositivo o un corte de energía. Consulte para conocer el número de registros registrados en los informes integrados y externos.Tabla 2

Tabla 2: Número de registros
Modo de informe Sesión Pantalla DPI Seguridad de contenido IPsec-VPN CIELO
Fuera de la caja 1200,000 120,000 120,000 120,000 40 000 120,000
En caja 500 000 50 000 50 000 50 000 20,000 50 000
Nota:

Debe configurar la política de seguridad para la sesión mediante el comando para enumerar todas las aplicaciones y aplicaciones anidadas en Seguimiento de aplicaciones en J-Web mediante la función de informes en caja.set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close Consulte para obtener más información (Políticas de seguridad) para obtener más información.log (Security Policies)

Después de grabar el mensaje de registro, el registro se almacena en un archivo de registro que luego se almacena en la tabla de base de datos del RE para su posterior análisis (en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M) o en la tarjeta SSD para su posterior análisis (en dispositivos SRX1500, SRX4100 y SRX4200).

Nota:

Esta función admite la recepción de la mayoría de los informes principales según el recuento o el volumen de la sesión o el tipo de registro, captura los eventos que ocurren en cada segundo dentro de un intervalo de tiempo especificado y captura el contenido del registro para una condición de CLI especificada. Para generar informes se utilizan varias condiciones de la CLI, como "resumen", arriba", "en detalle" e "en intervalo". Solo puede generar un informe a la vez mediante la CLI. No se pueden usar todas las condiciones de CLI al mismo tiempo. Solo puede generar un informe a la vez mediante la CLI.

Los beneficios de esta característica son:

  • Los informes se almacenan localmente en el firewall de la serie SRX y no se requieren dispositivos o herramientas independientes para el almacenamiento de registros e informes.

  • Los informes en caja son páginas J-Web fáciles de usar de varios eventos de seguridad en forma de tablas y gráficos.

  • Proporciona una interfaz simple y fácil de usar para ver los registros de seguridad.

  • Los informes generados permiten al equipo de gestión de seguridad de TI identificar la información de seguridad de un vistazo y decidir rápidamente las acciones a tomar.

La función de informes en caja admite:

  • Generación de informes basados en los requerimientos. Por ejemplo: recuento o volumen de la sesión, tipos de registros para actividades como IDP, seguridad de contenido, VPN IPsec.

  • Capturar eventos en tiempo real dentro de un rango de tiempo especificado.

  • Captura de todas las actividades de red en un formato lógico, organizado y fácil de entender basado en varias condiciones especificadas por CLI.

Funciones de informes integradas

La función de informes en caja admite:

  • Sqlite3 support as a library—sqlite3 no era compatible antes de Junos OS versión 15.1X49-D100. A partir de Junos OS versión 15.1X49-D100, los demonios que se ejecutan en el RE, así como otros módulos potenciales, utilizan una base de datos de registros SQL (SQLite versión 3) para almacenar registros en firewalls de la serie SRX.

    En Junos OS versión 19.4R1, actualizamos la base de datos de registro en caja para mejorar el rendimiento de las consultas.

  • Running llmd in both Junos OS and Linux OS: el demonio de reenvío (flowd) decodifica el índice de la base de datos a partir de registros binarios y envía tanto el índice como el registro al demonio de administración de registros local (llmd).

    En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, llmd se ejecuta en Junos OS. En dispositivos SRX1500, SRX4100 y SRX4200, llmd se ejecuta en Linux. Por lo tanto, para admitir que llmd se ejecute tanto en Junos OS como en Linux OS, el directorio de código llmd se mueve del lado de Linux al lado de Junos OS.

  • Storing of logs into specified table of the sqlite3 database by llmd— Se introduce un nuevo demonio syslog para recopilar registros locales en firewalls de la serie SRX y guardarlos en la base de datos.

    A partir de Junos OS versión 19.3R1, Junos OS almacena registros en varias tablas en lugar de una sola tabla en un archivo de base de datos. Cada tabla contiene la marca de tiempo de los registros más antiguos y más recientes. Cuando inicia una consulta basada en la hora de inicio y finalización, llmd busca la tabla más reciente para generar informes.

    Por ejemplo, si hay 5 millones de registros en una tabla de un archivo de base de datos generado en las últimas 10 horas, y si desea tomar un informe, debe dedicar más de media hora. A partir de la versión 19.3R1 de Junos OS, una tabla se divide en varias tablas y cada tabla tiene 0,5 millones de registros. Para generar el mismo informe, basta con una información de tabla.

    Le recomendamos que consulte con un tiempo más corto para un mejor rendimiento.

    • Database table definition—Para los registros de sesión, los tipos de datos son dirección de origen, dirección de destino, aplicación, usuario, etc. Para los registros relacionados con las características de seguridad, los tipos de datos son nombre de ataque, dirección URL, protocolo de perfil, etc. Por lo tanto, diferentes tablas están diseñadas para almacenar diferentes tipos de registros para ayudar a mejorar el rendimiento y ahorrar espacio en disco. El firewall de la serie SRX crea una tabla de base de datos para cada tipo de registro, cuando se registran los datos de registro.

      Cada tipo de tabla de base de datos tiene su número máximo de registro específico del dispositivo. Cuando el número de registro de tabla alcanza la limitación, los registros nuevos reemplazan a los registros más antiguos. Junos OS almacena el inicio de sesión en un firewall de la serie SRX en el que se pasa el tráfico activo.

      A partir de Junos OS versión 19.3R1, puede crear varias tablas en un archivo de base de datos para almacenar registros. Puede definir la capacidad de almacenar registros en una tabla.

      Si el límite del número de registro supera la capacidad de la tabla, Junos OS almacena los registros en la segunda tabla. Por ejemplo, si el límite de registros de la tabla 1 supera la capacidad de la tabla, Junos OS almacena los registros en la tabla 2.

      Si el límite del número de registro supera la última tabla del archivo 1, Junos OS almacena los registros en la tabla 1 del archivo 2. Por ejemplo, la tabla n es la última tabla del archivo 1. Cuando los registros superan la capacidad de la tabla, Junos OS almacena los registros en la tabla 1 del archivo 2.

      Para hacer efecto inmediato después de cambiar el número de tabla, utilice el comando operativo.clear security log report

    • Database table rotation—Cada tipo de tabla de base de datos tiene su número máximo de registro específico del dispositivo. Cuando el número de registro de tabla alcanza la limitación, los registros nuevos reemplazan a los registros más antiguos.

      A continuación se describe la capacidad del tamaño del archivo de base de datos:Tabla 3

      Tabla 3: Capacidad de tamaño de archivo de base de datos

      Dispositivos

      Sesión

      Pantalla

      DPI

      Seguridad de contenido

      IPsec-VPN

      CIELO

      SRX300, SRX320, SRX340, SRX345 y SRX550M

      1.8G

      0.18G

      0,18G

      0,18G

      0.06G

      0,18G

      SRX1500

      12G

      2.25G

      2,25G

      2,25G

      0.75G

      2,25G

      SRX4100 y SRX4200

      15G

      2,25G

      2,25G

      2,25G

      0,75G

      2,25G

      SRX4600

      22,5G

      6G

      6G

      6G

      0,75G

      2,25G

      Firewall virtual vSRX

      1,8G

      0,18G

      0,18G

      0,18G

      0,06 G

      0,18G

  • Calculating and displaying the reports that are triggered by CLI: los informes de la base de datos se reciben de la CLI como interfaz. Con la CLI, puede calcular y mostrar los detalles de los informes.

Selección de tablas

Cuando desee generar un informe a partir de varias tablas, llmd ordena las tablas según la marca de tiempo y selecciona las tablas según la hora de inicio y la hora de finalización solicitadas.

Por ejemplo, hay tres tablas: la tabla 1 (1 a 3), la tabla 2 (3 a 5) y la tabla 3 (6 a 8). 1 a 3, 3 a 6 y 6 a 8 denota la marca de tiempo de los registros más recientes y antiguos. Si solicita un informe del 4 al 6, Junos OS generará un informe a partir de la tabla 2 y la tabla 3.

Duración de la tabla

Puede decidir la duración de la tabla mediante el comando de configuración .set security log report table-lifetime Junos OS quita la tabla después de que el tiempo de identificación de la tabla supere la duración de la tabla. Por ejemplo, si configura la duración de la tabla como 2 y la fecha actual es 26-julio-2019, significa que el 24-julio-2019 se eliminarán los registros a las 00:00:00.

Si cambia la fecha y la hora manualmente en un dispositivo, la duración de la tabla cambia. Por ejemplo, si la hora de identificación de una tabla es 19 de julio de 2019 y configura la duración de la tabla como 10, Junos OS debería quitar la tabla el 29 de julio de 2019. Si cambia la fecha del dispositivo como 18-julio-2019, entonces la vida útil real de la tabla se convierte en 30-julio-2019.

Modo denso de tabla

En Junos OS versión 19.4R1, actualizamos el mecanismo predeterminado de almacenamiento y búsqueda en la base de datos de registro en caja para administrar los registros. Ahora puede personalizar el almacenamiento de registros y los resultados del mecanismo de búsqueda. Por ejemplo, si espera menos registros de tráfico, puede usar la configuración predeterminada con una hora de inicio y una hora de detención.

Sin embargo, si espera un gran número de registros de tráfico y mayores intervalos de tiempo para los que se generarán los registros, habilite el modo denso. Para habilitar el modo denso, utilice el comando de configuración.set security log report table-mode dense

Escenario de clúster de chasis

Para los informes internos en un clúster de chasis, los registros se almacenan en el disco local en el que el dispositivo está procesando el tráfico activo. Estos registros no se sincronizan con el par del clúster de chasis.

Cada nodo es responsable de almacenar registros cuando cada nodo procesa el tráfico activo. En caso de modo activo/pasivo, solo el nodo activo procesa el tráfico y los registros también se almacenan solo en el nodo activo. En caso de conmutación por error, el nuevo nodo activo procesa el tráfico y almacena los registros en su disco local. En caso de modo activo/activo, cada nodo procesa su propio tráfico y los registros se almacenan en los nodos respectivos.

Consulte también

Supervisar informes

Los informes en caja ofrecen un servicio integral de informes donde su equipo de administración de seguridad puede detectar un evento de seguridad cuando ocurre, acceder y revisar inmediatamente los detalles pertinentes sobre el evento y decidir rápidamente las medidas correctivas adecuadas. La función de informes J-Web proporciona informes de una o dos páginas que equivalen a una compilación de numerosas entradas de registro.

Esta sección contiene los siguientes temas:

Informe de monitoreo de amenazas

Propósito

Utilice el Informe de amenazas para supervisar las estadísticas generales y los informes de actividad de las amenazas actuales a la red. Puede analizar los datos de registro en busca de información sobre el tipo de amenaza, los detalles de origen y destino, y la frecuencia de las amenazas. El informe calcula, muestra y actualiza las estadísticas, proporcionando presentaciones gráficas del estado actual de la red.

Acción

Para ver el informe de amenazas:

  1. Haga clic en la parte inferior derecha del panel de control o seleccione en la interfaz de usuario de J-Web.Threats ReportMonitor>Reports>Threats Aparecerá el informe de amenazas.

  2. Seleccione una de las siguientes pestañas:

    • Statistics pestaña. Consulte para obtener una descripción del contenido de la página.Tabla 4

    • Activities pestaña. Consulte para obtener una descripción del contenido de la página.Tabla 5

Tabla 4: Salida de la ficha Estadísticas en el informe Amenazas

Campo

Description
Panel de estadísticas generales

Categoría de amenaza

Una de las siguientes categorías de amenazas:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web: haga clic en la categoría Filtro web para mostrar los contadores de 39 subcategorías.

    • Filtro de contenido

  • Evento de firewall

  • DNS

Severidad

Nivel de gravedad de la amenaza:

  • Emerg

  • Alerta

  • Crit

  • Err

  • Advertencia

  • Aviso

  • Información

  • Depuración

Golpes en las últimas 24 horas

Número de amenazas encontradas por categoría en las últimas 24 horas.

Aciertos en la hora actual

Número de amenazas encontradas por categoría en la última hora.
Recuentos de amenazas en las últimas 24 horas

Por gravedad

Gráfico que representa el número de amenazas recibidas cada hora durante las últimas 24 horas ordenadas por nivel de gravedad.

Por categoría

Gráfico que representa el número de amenazas recibidas cada hora durante las últimas 24 horas ordenadas por categoría.

Eje X

Lapso de veinticuatro horas con la hora actual ocupando la columna más a la derecha de la pantalla. El gráfico se desplaza hacia la izquierda cada hora.

Eje

Número de amenazas encontradas. El eje escala automáticamente en función del número de amenazas encontradas.
Amenazas más recientes

Nombre de la amenaza

Nombres de las amenazas más recientes. En función de la categoría de amenaza, puede hacer clic en el nombre de la amenaza para ir a un sitio del motor de análisis y obtener una descripción de la amenaza.

Categoría

Categoría de cada amenaza:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web

    • Filtro de contenido

  • Evento de firewall

  • DNS

IP/puerto de origen

Dirección IP de origen (y número de puerto, si corresponde) de la amenaza.

IP/puerto de destino

Dirección IP de destino (y número de puerto, si corresponde) de la amenaza.

Protocolo

Nombre de protocolo de la amenaza.

Description

Identificación de amenazas según el tipo de categoría:

  • Antivirus: URL

  • Filtro web: categoría

  • Filtro de contenido: motivo

  • Antispam: correo electrónico del remitente

Acción

Medidas adoptadas en respuesta a la amenaza.

Tiempo de golpe

Hora en que se produjo la amenaza.
Tendencia de amenazas en las últimas 24 horas

Categoría

Gráfico circular que representa el recuento comparativo de amenazas por categoría:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web

    • Filtro de contenido

  • Evento de firewall

  • DNS

Resumen de contadores de filtro web

Categoría

El recuento de filtros web se desglosa en hasta 39 subcategorías. Al hacer clic en la lista de filtros web del panel Estadísticas generales, se abre el panel Resumen de contadores de filtros web.

Golpes en las últimas 24 horas

Número de amenazas por subcategoría en las últimas 24 horas.

Aciertos en la hora actual

Número de amenazas por subcategoría en la última hora.
Tabla 5: Salida de la ficha Actividades en el informe Amenazas

Campo

Función
Virus más recientes

Nombre de la amenaza

Nombre de la amenaza de virus. Los virus pueden basarse en servicios, como Web, FTP o correo electrónico, o en función del nivel de gravedad.

Severidad

Nivel de gravedad de cada amenaza:

  • Emerg

  • Alerta

  • Crit

  • Err

  • Advertencia

  • Aviso

  • Información

  • Depuración

IP/puerto de origen

Dirección IP (y número de puerto, si procede) del origen de la amenaza.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino de la amenaza.

Protocolo

Nombre de protocolo de la amenaza.

Description

Identificación de amenazas según el tipo de categoría:

  • Antivirus: URL

  • Filtro web: categoría

  • Filtro de contenido: motivo

  • Antispam: correo electrónico del remitente

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último golpe

La última vez que ocurrió la amenaza.
Remitentes de correo electrónico no deseado más recientes

Desde e-mail

Dirección de correo electrónico que fue la fuente del spam.

Severidad

Nivel de gravedad de la amenaza:

  • Emerg

  • Alerta

  • Crit

  • Err

  • Advertencia

  • Aviso

  • Información

  • Depuración

IP de origen

Dirección IP del origen de la amenaza.

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último envío

Última vez que se envió el correo electrónico no deseado.
Solicitudes de URL bloqueadas recientemente

dirección

Solicitud de URL bloqueada.

IP/puerto de origen

Dirección IP (y número de puerto, si procede) de la fuente.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino.

Aciertos en la hora actual

Número de amenazas encontradas en la última hora.
Ataques de desplazados internos más recientes

Ataque

Severidad

Gravedad de cada amenaza:

  • Emerg

  • Alerta

  • Crit

  • Err

  • Advertencia

  • Aviso

  • Información

  • Depuración

IP/puerto de origen

Dirección IP (y número de puerto, si procede) de la fuente.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino.

Protocolo

Nombre de protocolo de la amenaza.

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último envío

La última vez que se envió la amenaza de IDP.

Informe de monitoreo de tráfico

Propósito

Supervise el tráfico de red revisando los informes de las sesiones de flujo de las últimas 24 horas. Puede analizar los datos de registro para obtener estadísticas de conexión y uso de sesión mediante un protocolo de transporte.

Acción

Para ver el tráfico de red en las últimas 24 horas, seleccione en la interfaz de usuario de J-Web.Monitor>Reports>Traffic Consulte para obtener una descripción del informe.Tabla 6

Tabla 6: Salida del informe de tráfico

Campo

Description
Sesiones en las últimas 24 horas por protocolo

Nombre del protocolo

Nombre del protocolo. Para ver la actividad horaria por protocolo, haga clic en el nombre del protocolo y revise el "Gráfico de actividades del protocolo" en el panel inferior.

  • TCP

  • UDP

  • ICMP

Total de la sesión

Número total de sesiones para el protocolo en las últimas 24 horas.

Bytes entrantes (KB)

Número total de bytes entrantes en KB.

Bytes de salida (KB)

Número total de bytes salientes en KB.

Paquetes entrantes

Número total de paquetes entrantes.

Salida de paquetes

Número total de paquetes salientes.
Sesiones cerradas más recientes

IP/puerto de origen

Dirección IP de origen (y número de puerto, si procede) de la sesión cerrada.

IP/puerto de destino

Dirección IP de destino (y número de puerto, si procede) de la sesión cerrada.

Protocolo

Protocolo de la sesión privada.

  • TCP

  • UDP

  • ICMP

Bytes entrantes (KB)

Número total de bytes entrantes en KB.

Bytes de salida (KB)

Número total de bytes salientes en KB.

Paquetes entrantes

Número total de paquetes entrantes.

Salida de paquetes

Número total de paquetes salientes.

Timestamp

La hora a la que se cierra el período de sesiones.
Cuadro de Actividades de Protocolo

Bytes de entrada/salida

Representación gráfica del tráfico como bytes entrantes y salientes por hora. El recuento de bytes es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Entrada/salida de paquetes

Representación gráfica del tráfico como paquetes entrantes y salientes por hora. El recuento de paquetes es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Sesiones

Representación gráfica del tráfico como el número de sesiones por hora. El recuento de sesiones es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Eje X

Una hora por columna durante 24 horas.

Eje

Recuento de bytes, paquetes o sesiones.
Tabla de sesión de protocolo

Sesiones por protocolo

Representación gráfica del tráfico como el recuento de sesiones actuales por protocolo. Los protocolos que se muestran son TCP, UDP e ICMP.

Configurar archivos de registro de seguridad binaria en caja

Los firewalls de la serie SRX utilizan dos tipos de registros (registros del sistema y registros de seguridad) para registrar los eventos del sistema. Los registros del sistema registran eventos del plano de control, por ejemplo, cuando un usuario administrador inicia sesión. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico. Por ejemplo, Junos OS genera un registro de seguridad si una política de seguridad deniega cierto tráfico debido a una infracción de política. Para obtener más información acerca de los registros del sistema, consulte Descripción general del registro del sistema de Junos OS. Para obtener más información acerca de los registros de seguridad, consulte Descripción del registro del sistema para dispositivos de seguridad.Descripción general del registro del sistema para dispositivos de seguridad

Puede recopilar y guardar registros del sistema y de seguridad en formato binario, ya sea en caja (es decir, almacenados localmente en el firewall de la serie SRX) o fuera de la caja (transmitidos a un dispositivo remoto). El uso del formato binario garantiza que los archivos de registro se almacenen de manera eficiente, lo que a su vez mejora la utilización de la CPU.

Puede configurar archivos de seguridad en formato binario utilizando la instrucción en el nivel de jerarquía.log[security]

El registro en caja también se conoce como registro en modo de evento. Para el modo de transmisión y el registro de seguridad fuera de la caja, consulte Configuración de archivos de registro de seguridad binaria fuera de la caja.Configurar archivos de registro de seguridad binaria fuera de la caja Al configurar registros de seguridad en formato binario para el registro en modo de eventos, puede definir opcionalmente el nombre de archivo, la ruta de acceso del archivo y otras características, como se detalla en el siguiente procedimiento:

  1. Especifique el modo y el formato de registro para el registro en caja.
    Nota:

    Si configura el registro del sistema para enviar registros del sistema a un destino externo (es decir, fuera de la caja o en modo de secuencia), los registros de seguridad también se envían a ese destino, incluso si utiliza el registro de seguridad en modo de evento. Para obtener más información acerca del envío de registros del sistema a un destino externo, consulte Ejemplos: Configuración del registro del sistema.
    Nota:

    Los modos de registro de seguridad fuera de la caja y en caja no se pueden habilitar simultáneamente.
  2. (Opcional) Defina un nombre y una ruta de acceso para el archivo de registro.
    Nota:

    El nombre de archivo de registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.

  3. (Opcional) Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.
    Nota:

    De forma predeterminada, el tamaño máximo del archivo de registro es de 3 MB y se pueden archivar un total de tres archivos de registro.

    En los siguientes comandos de ejemplo, se establece un valor de 5 MB y 5 archivos archivados, respectivamente:

  4. (Opcional) Configure el indicador hpl para habilitar seguimientos de diagnóstico para los archivos de registro de seguridad binaria. El prefijo smf_hpl identifica todos los seguimientos de registro binario.
  5. Para la directiva de seguridad de permisos predeterminados, los registros de tráfico se generan cuando finaliza una sesión.RT_FLOW
  6. (Opcional) Los registros de tráfico se generan cuando se inicia una sesión.RT_FlOW

Vea el contenido del archivo de registro en modo de evento almacenado en el dispositivo mediante comando y use comando para borrar el contenido del archivo de registro de seguridad en modo de evento binario.show security log fileclear security log file

Nota:

El comando muestra los mensajes de registro de seguridad en modo de evento si están en un formato basado en texto y el comando muestra los mensajes de registro de seguridad en modo de evento si están en formato binario (en caja).show security logshow security log file Juniper Secure Analytics (JSA) lee el registro binario externo.

Configurar archivos de registro de seguridad binaria fuera de la caja

Los firewalls de la serie SRX tienen dos tipos de registro: Registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Para obtener más información acerca de los registros del sistema, consulte Descripción general del registro del sistema de Junos OS. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad deniega cierto tráfico debido a alguna infracción de la política. Para obtener más información acerca de los registros de seguridad, consulte Descripción del registro del sistema para dispositivos de seguridad.Descripción general del registro del sistema para dispositivos de seguridad

Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja. En el procedimiento siguiente se explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de secuencia).

Puede configurar archivos de seguridad en formato binario utilizando la instrucción en el nivel de jerarquía.log[security]

El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del nombre de archivo, la ruta de acceso y el archivo de registro. Para el modo de evento y el registro de seguridad en caja, consulte Configuración de archivos de registro de seguridad binaria en caja.Configurar archivos de registro de seguridad binaria en caja

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja:
    Nota:

    Los modos de registro de seguridad fuera de la caja y en caja no se pueden habilitar simultáneamente.

  2. Para el registro de seguridad externo, especifique la dirección de origen, que identifica el firewall de la serie SRX que generó los mensajes de registro. La dirección de origen es obligatoria.
  3. Opcionalmente, defina un nombre de archivo de registro y una ruta de acceso.
    Nota:

    El nombre de archivo de registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.
  4. Opcionalmente, cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar. De forma predeterminada, el tamaño máximo del archivo de registro es de 3 MB y se pueden archivar un total de tres archivos de registro.
  5. Opcionalmente, seleccione el indicador hpl para habilitar los seguimientos de diagnóstico para el registro binario. El prefijo smf_hpl identifica todos los seguimientos de registro binario.
  6. Vea el contenido del archivo de registro en modo de evento almacenado en el dispositivo mediante Juniper Secure Analytics (JSA) o Security Threat Response Manager (STRM).

Configurar archivos de registro de seguridad de Protobuf en caja en modo de evento

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
Para configurar el formato Protobuf en modo de evento:
  1. Especifique el modo y el formato de registro para el registro en caja.
  2. Defina un nombre y una ruta de acceso para el archivo de registro.
  3. Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.

Vea el contenido del archivo de registro protobuf almacenado en el dispositivo mediante el comando.show security log file file1.pb

user@host> show security log file file1.pb

Configurar archivos de registro de seguridad de Protobuf en caja en modo de secuencia

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
Para configurar el formato Protobuf en modo de secuencia para archivar:
  1. Especifique el modo y el formato de registro para el registro en caja.
  2. Defina un nombre para el archivo de registro.
  3. Cambie el tamaño máximo del archivo de registro que se puede archivar.

Vea el contenido del archivo de registro protobuf almacenado en el dispositivo mediante el comando.show security log stream file file2.pb

user@host> show security log file file2.pb

Configurar archivos de registro de seguridad de Protobuf fuera de la caja

El plano de datos utiliza el formato Protobuf en y el modo para codificar el registro y enviarlo al host.streamstream-event Los datos del registro de seguridad se envían al host utilizando un protocolo de transporte y un número de puerto diferentes. El host recibe el registro protobuf y lo guarda en un archivo. Copie , y los archivos al host.hplc_collect.pyhplc_view.pysecurity_log.xmlprotobuflog.proto El se utiliza para recopilar y guardar los archivos de registro en el host.hplc_collect.py El se utiliza para descodificar los datos del archivo en el host y puede ver los datos mediante .protobuflog.protohplc_view.py Los archivos se publican y se copian en el host./share/juniper Los archivos y son compatibles con la última versión 3 de python.hplc_collect.pyhplc_view.py

Para configurar el formato Protobuf en modo stream-event para hospedar:
  1. Especifique el modo de registro y el formato de secuencia de registro para el registro fuera de la caja. Es una combinación del modo de transmisión y de evento.Stream-event
  2. Para el registro de seguridad externo, especifique la dirección de origen, que identifica el firewall de la serie SRX que generó los mensajes de registro.
  3. Defina un nombre y una ruta de acceso para el archivo de registro.
  4. Configure la secuencia de registro s1 con la configuración de host y puerto.
  5. Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.
  6. Configure el archivo log.trace para descodificar y ver el contenido del registro.

Enviar mensajes de registro del sistema a un archivo

Puede dirigir los mensajes de registro del sistema a un archivo en la tarjeta CompactFlash (CF). El directorio predeterminado para los archivos de registro es ./var/log Para especificar un directorio diferente en la tarjeta CF, incluya la ruta de acceso completa.

Cree un archivo denominado y envíe mensajes de registro de la clase en el nivel de gravedad al archivo.securityauthorizationinfo

Para establecer el nombre de archivo, la instalación y el nivel de gravedad:

Configurar el sistema para enviar todos los mensajes de registro a través de eventd

El proceso de configuración de registro se suele utilizar para Junos OS.eventd En esta configuración, los registros del plano de control y del plano de datos, o de seguridad, se reenvían desde el plano de datos al proceso del plano de control del motor de enrutamiento.rtlogd A continuación, el proceso reenvía los registros con formato syslog o sd-syslog al proceso o los registros con formato WELF al recopilador de registros WELF externo o remoto.rtlogdeventd

Para enviar todos los mensajes de registro a través de :eventd

  1. Establezca el proceso para controlar los registros de seguridad y enviarlos a un servidor remoto.eventd
  2. Configure el servidor que recibirá los mensajes de registro del sistema.

    donde es el nombre de host completo o la dirección IP del servidor que recibirá los registros.hostname

Nota:

Para enviar registros duplicados a un segundo servidor remoto, repita el comando con un nuevo nombre de host completo o una nueva dirección IP de un segundo servidor.

Si su implementación es un clúster de chasis activo/activo, también puede configurar el registro de seguridad en el nodo activo que se enviará a servidores remotos independientes para lograr la redundancia de registro.

Para cambiar el nombre o redirigir una de las configuraciones de registro, debe eliminarla y volver a crearla. Para eliminar una configuración:

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo es el modo de transmisión. Antes de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo era el modo de evento.
17.4R2
A partir de Junos OS versión 17.4R2 y posteriores, en dispositivos serie SRX300, SRX320, SRX340, SRX345 e instancias de firewall virtual vSRX, cuando el dispositivo está configurado en modo de secuencia, puede configurar un máximo de ocho hosts de registro del sistema. En Junos OS versión 17.4R2 y versiones anteriores, solo puede configurar tres hosts de registro del sistema en el modo de secuencia. Si configura más de tres hosts de registro del sistema, aparecerá el siguiente mensaje de error.error: configuration check-out failed
Junos OS Release 15.1X49-D100
La función de informes en caja está habilitada de forma predeterminada cuando se cargan las configuraciones predeterminadas de fábrica en el firewall de la serie SRX con Junos OS versión 15.1X49-D100 o posterior.
Junos OS Release 19.3R1
A partir de Junos OS versión 19.3R1, SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M dispositivos utilizan de forma predeterminada el modo de transmisión.
Junos OS Release 19.3R1
A partir de Junos OS versión 19.3R1 , la configuración predeterminada de fábrica no incluye la configuración de informes en caja para aumentar la vida útil de la unidad de estado sólido (SSD).