Recoger registros de F5 AFM

Disponible en:

En este documento se explica cómo ingerir registros de gestión avanzada de firewall de F5 en Google Security Operations mediante Bindplane. El analizador transforma los registros de los formatos SYSLOG y CSV o CSV en un modelo de datos unificado (UDM). Primero, intenta analizar el mensaje de registro mediante patrones grok específicos del formato SYSLOG y, si no lo consigue, lo procesa como un archivo CSV, extrayendo y asignando campos a la estructura de UDM.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
  • Acceso con privilegios a F5 BIG-IP y F5 Advanced Firewall Management

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'F5_AFM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Habilitar F5 BIG-IP Advanced Firewall Manager

  1. Inicia sesión en la consola de gestión del dispositivo BIG-IP.
  2. Ve a Sistema > Licencia.
  3. Verifica que Gestor avanzado de cortafuegos tenga licencia y esté habilitado.
  4. Para habilitar el gestor avanzado de cortafuegos, ve a Sistema > Recursos > Provisionamiento.
  5. Marca la casilla de la columna Provisioning (Aprovisionamiento) y selecciona Nominal en la lista.
  6. Haz clic en Enviar.

Configurar el grupo de registro en F5 AFM

  1. Vaya a Tráfico local > Grupos.
  2. Haz clic en Crear.
  3. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre para el grupo de registro (por ejemplo, logging_pool).
    • Monitor de estado: en la lista Disponible, selecciona TCP y haz clic en <<.
  4. En la pestaña Recurso, selecciona el Grupo de registro que has creado anteriormente en la lista Nombre de nodo.
  5. En el campo Dirección, introduce la dirección IP del agente de Bindplane.
  6. En el campo Puerto de servicio, introduce 5145 u otro puerto que hayas definido en el agente de Bindplane.
  7. Haz clic en Añadir.
  8. Haz clic en Finalizar.

Configurar el destino del registro formateado en F5 AFM

  1. Ve a Sistema > Registros > Configuración > Destinos de registro.
  2. Haz clic en Crear.
  3. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre para el destino del formato de registro (por ejemplo, Logging_Format_Destination).
    • Descripción: escribe una descripción.
    • Tipo: selecciona Syslog remoto.
    • Formato Syslog: selecciona Syslog.
    • Destino del registro de alta velocidad: selecciona el destino del registro de alta velocidad (por ejemplo, Logging_HSL_Destination).
  4. Haz clic en Finalizar.

Configurar Log Publisher en F5 AFM

  1. Ve a Sistema > Registros > Configuración > Editores de registros.
  2. Haz clic en Crear.
  3. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre para el editor (por ejemplo, Log_Publisher).
    • Descripción: escribe una descripción.
    • Destinos: selecciona el nombre del destino de registro que has creado en el paso Configurar el grupo de registro en F5 AFM y haz clic en << para añadir elementos a la lista Seleccionados.

Configurar un perfil de registro en F5 AFM

  1. Ve a Seguridad > Registros de eventos > Registro de perfil.
  2. Haz clic en Crear.
  3. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre para el perfil de registro (por ejemplo, Logging_Profile).
    • Cortafuegos de red: marca la casilla Habilitado.
    • Editor: selecciona el editor de registros que has configurado anteriormente (por ejemplo, Log_Publisher).
    • Registrar coincidencias de reglas: selecciona las casillas Aceptar, Eliminar y Rechazar.
    • Registrar errores de IP: marque la casilla Habilitado.
    • Registrar errores de TCP: marca la casilla Habilitado.
    • Registrar eventos TCP: marca la casilla Habilitado.
    • Formato de almacenamiento: selecciona Lista de campos.
    • Delimitador: introduce , (coma) como delimitador de eventos.
    • Opciones de almacenamiento: selecciona todas las opciones de la lista Elementos disponibles y haz clic en <<.
    • En la pestaña Inteligencia de IP, seleccione el editor de registro que haya configurado (por ejemplo, Log_Publisher).
  4. Haz clic en Finalizar.

Configurar la asociación de perfiles de servidor virtual en F5 AFM

  1. Vaya a Tráfico local > Servidores virtuales.
  2. Seleccione el servidor virtual que quiera modificar.
  3. Ve a la pestaña Seguridad > Políticas.
  4. En la lista Log Profile (Perfil de registro), selecciona Enabled (Habilitado).
  5. En el campo Perfil, selecciona Logging_Profile y haz clic en <<.
  6. Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acl_policy_name security_result.detection_fields.acl_policy_name Valor de la columna 22 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 13.
acl_policy_type security_result.detection_fields.acl_policy_type Valor de la columna 21 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 18.
acl_rule_name security_result.rule_name Valor de la columna 23 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 11.
acl_rule_uuid security_result.rule_id Valor del campo acl_rule_uuid del patrón grok
acción security_result.action Si el valor de la columna 25 es Drop, Reject o Block, se BLOQUEA. Si el valor de la columna 25 es Accept, Accept decisively, Established o Allow, se PERMITE.
attackID security_result.detection_fields.attackID Valor de la columna 12 si el formato de registro es CSV sin src_ip.
bigip_hostname intermediary.hostname Valor de la columna 2 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 3.
bigip_ip intermediary.ip Valor de la columna 2 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 1.
context_name additional.fields.context_name.string_value Valor de la columna 4 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 10 si hay src_ip. Si no, valor de la columna 5.
context_type additional.fields.context_type.string_value Valor de la columna 3 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 4 si hay src_ip. Si no, valor de la columna 4.
dest_fqdn additional.fields.dest_fqdn.string_value Valor de la columna 7 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 13.
dest_geo additional.fields.dest_geo.string_value Valor de la columna 14
dest_ip target.asset.ip, target.ip Valor de la columna 8 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 6 si hay src_ip. Si no, valor de la columna 6.
dest_port target.port Valor de la columna 10 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 8 si hay src_ip. De lo contrario, valor de la columna 8.
drop_reason security_result.summary Valor de la columna 26 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 19.
eventId additional.fields.eventId.string_value Valor capturado en el patrón grok
flow_id additional.fields.flow_id.string_value Valor de la columna 29 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 17.
loglevel security_result.severity Si el valor del campo loglevel del patrón grok es warning, debug o notice, se asigna el valor MEDIUM. Si el valor es info o informational, se asigna el valor INFORMATIONAL. Si el valor es err o error, se asigna el valor HIGH. Si el valor es alert, crit o emer, se asigna el valor CRITICAL.
packetsReceived network.received_packets Valor de la columna 15 si el formato de registro es CSV sin src_ip
process target.application Valor del campo de proceso del patrón grok
protocol_number_src network.ip_protocol Valor de column12 si el formato de registro es SYSLOG. De lo contrario, es el valor extraído de la variable ip_protocol_out.
route_domain additional.fields.route_domain.string_value Valor de la columna 13 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 9.
source_fqdn additional.fields.source_fqdn.string_value Valor de la columna 5 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 7.
src_geo additional.fields.src_geo.string_value Valor de la columna 8
src_ip principal.asset.ip, principal.ip Valor de la columna 6 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 9 si el formato de registro es CSV sin src_ip. De lo contrario, valor de la columna 5.
src_port principal.port Valor de la columna 9 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 7 si el formato de registro es CSV sin src_ip. De lo contrario, valor de la columna 7.
ts metadata.event_timestamp Valor del campo ts del patrón grok
vlan additional.fields.vlan.string_value Valor de la columna 11 si el formato de registro es SYSLOG. De lo contrario, valor de la columna 21.
metadata.event_type Si existen src_ip y dest_ip, NETWORK_CONNECTION; si solo existe src_ip, STATUS_UPDATE; si no, GENERIC_EVENT.
metadata.log_type F5_AFM
metadata.product_name Gestión avanzada del cortafuegos
metadata.vendor_name F5

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.