Juniper SRX Firewall

Supported OS Linux Windows

Versión de la integración1.0.0
Juniper SRX Firewall - Información general
Juniper SRX Firewall - Logs de sesión
Juniper SRX Firewall - Logs de seguridad
Juniper SRX Firewall - Logs de autenticación

Información general

Juniper SRX Firewall protege tu borde de red, centro de datos y aplicaciones de nube mediante la detección y mitigación de intrusiones, software malicioso y otras amenazas.

Esta integración analiza los siguientes tipos de logs:

  • Logs de sesión: Realiza un seguimiento del tráfico de red y las actividades de sesión, incluidas las sesiones iniciadas y denegadas, el tráfico relacionado con aplicaciones y los paquetes descartados.
  • Logs de seguridad: Monitoriza eventos de seguridad como detecciones de software malicioso, intentos de intrusión, ataques DoS y actividades de filtrado de contenidos.
  • Logs de autenticación: Captura las actividades de autenticación, incluidos los intentos exitosos y fallidos de inicio de sesión.

Obtén una visibilidad detallada de estos logs mediante dashboards predefinidos y refuerza la seguridad con reglas de detección Cloud SIEM preconfiguradas para una monitorización y una respuesta proactiva en caso de amenazas.

Configuración

Instalación

Para instalar la integración Juniper SRX Firewall, ejecuta el siguiente comando de instalación del Agent en tu terminal. Para obtener más información, consulta la documentación Gestión de integraciones.

Nota: Este paso no es necesario para versiones >= 7.64.0 del Agent.

sudo -u dd-agent -- datadog-agent integration install datadog-juniper_srx_firewall==1.0.0

Configuración

Configurar la recopilación de log

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en el archivo datadog.yaml:

    logs_enabled: true

  2. Añade el siguiente bloque de configuración a tu archivo juniper_srx_firewall.d/conf.yaml para empezar a recopilar logs. Consulta el ejemplo conf.yaml para ver las opciones de configuración disponibles.

    logs:
  - type: udp
    port: <PORT>
    source: juniper-srx-firewall
    service: juniper-srx-firewall

    Nota:

    • PORT: Especifica el puerto UDP en el que escuchará Datadog (por defecto: 514).
    • No modifiques los valores de service y source, ya que forman parte integrante del correcto procesamiento de pipelines de logs.

  3. Reinicia el Agent.

Configurar el reenvío de mensajes Syslog desde Juniper SRX Firewall

  1. Inicia sesión en la CLI de Juniper SRX Firewall.

  2. Ingresa en el modo de configuración:

    configure

  3. Para enviar logs al Datadog Agent, ejecute los siguientes comandos:

    set system syslog host <IP-ADDRESS> any any
set system syslog host <IP-ADDRESS> port <PORT>
set system syslog host <IP-ADDRESS> structured-data brief

    Nota:

    • Sustituye <IP-ADDRESS> por la dirección IP del Datadog Agent.
    • Sustituye <PORT> por el mismo puerto configurado en Recopilación de logs.

  4. Comprueba si Security Logging está activado:

    show security log mode

    Si está activado, el resultado mostrará mode stream; o mode event-stream;

  5. Si Security Logging está activado, configura la transmisión de logs:

    set security log stream <NAME> format sd-syslog
set security log stream <NAME> category all
set security log stream <NAME> host <IP-ADDRESS>
set security log stream <NAME> host port <PORT>
set security log transport protocol udp

  6. Aplica los cambios y sal de la configuración:

    commit
exit

Validación

Ejecuta el subcomando de estado del Agent y busca juniper_srx_firewall en la sección Checks.

Datos recopilados

Log

FormatoTipos de evento
Structured-Data(RFC 5424)Logs de sesión, logs de seguridad, logs de autenticación

Métricas

La integración Juniper SRX Firewall no incluye métricas.

Eventos

La integración Juniper SRX Firewall no incluye eventos.

Checks de servicio

La integración Juniper SRX Firewall no incluye checks de servicios.

Solucionar problemas

Permiso denegado durante la vinculación de puertos

Si aparece un error de Permission denied (Permiso denegado) al vincular puertos en los logs del Agent:

  1. La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:

    sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent

  2. Comprueba que la configuración es correcta ejecutando el comando getcap:

    sudo getcap /opt/datadog-agent/bin/agent/agent

    Con el resultado esperado:

    /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep

    Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.

  3. Reinicia el Agent.

No se recopilan datos

Asegúrate de que la configuración del cortafuegos permite el tráfico a través del puerto configurado.

Puerto ya utilizado

En los sistemas que ejecutan Syslog, el Agent puede fallar al intentar vincularse con el puerto 514 y mostrar el siguiente error:

Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use

Este error se produce porque Syslog utiliza el puerto 514 por defecto.

Para resolverlo:

  • Desactivar Syslog, O
  • Configura el Agent para escuchar en un puerto diferente, disponible.

Para obtener más ayuda, ponte en contacto con el soporte de Datadog.