Recopila registros de F5 AFM

Compatible con:

En este documento, se explica cómo transferir registros de F5 Advanced Firewall Management a Google Security Operations con Bindplane. El analizador transforma los registros de los formatos SYSLOG y CSV, o solo CSV, en un modelo de datos unificado (UDM). Primero, intenta analizar el mensaje de registro con patrones de Grok específicos del formato SYSLOG y, si no lo logra, lo procesa como un archivo CSV, extrayendo y asignando campos a la estructura del UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a BIG-IP de F5 y a la administración avanzada de firewalls de F5

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para que ingiera Syslog y lo envíe a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'F5_AFM'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Habilita el Administrador avanzado de firewall de BIG-IP de F5

  1. Accede a la consola de administración del dispositivo BIG-IP.
  2. Ve a System > License.
  3. Verifica que el Administrador avanzado de firewall tenga licencia y esté habilitado.
  4. Para habilitar el Administrador avanzado de firewall, ve a System > Resource > Provisioning.
  5. Selecciona la casilla de verificación de la columna Provisioning y, luego, Nominal en la lista.
  6. Haz clic en Enviar.

Configura el grupo de registros en F5 AFM

  1. Ve a Tráfico local > Grupos.
  2. Haz clic en Crear.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre para el grupo de registro (por ejemplo, logging_pool).
    • Health Monitor: En la lista Available, selecciona TCP y haz clic en <<.
  4. En la pestaña Recurso, selecciona el Grupo de registros que creaste anteriormente en la lista Nombre del nodo.
  5. En el campo Dirección, ingresa la dirección IP del agente de Bindplane.
  6. En el campo Puerto de servicio, ingresa 5145 o cualquier otro puerto que hayas definido en el agente de Bindplane.
  7. Haz clic en Agregar.
  8. Haz clic en Finalizar.

Configura el destino del registro con formato en F5 AFM

  1. Ve a System > Logs > Configuration > Log Destinations.
  2. Haz clic en Crear.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre para el destino del formato de registro (por ejemplo, Logging_Format_Destination).
    • Descripción: ingresa una descripción.
    • Tipo: Selecciona Syslog remoto.
    • Formato de Syslog: Selecciona Syslog.
    • Destino de registro de alta velocidad: Selecciona tu destino de registro de alta velocidad (por ejemplo, Logging_HSL_Destination).
  4. Haz clic en Finalizado.

Configura Log Publisher en F5 AFM

  1. Ve a System > Logs > Configuration > Log Publishers.
  2. Haz clic en Crear.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre para el publicador (por ejemplo, Log_Publisher).
    • Descripción: ingresa una descripción.
    • Destinations: Selecciona el nombre del destino de registro que creaste en el paso Configurar el grupo de registros en AFM de F5 y haz clic en << para agregar elementos a la lista Selected.

Configura el perfil de registro en F5 AFM

  1. Ve a Security > Event Logs > Logging Profile.
  2. Haz clic en Crear.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre para el perfil de registro (por ejemplo, Logging_Profile).
    • Firewall de red: Selecciona la casilla de verificación Habilitado.
    • Publicador: Selecciona el publicador de registros que configuraste antes (por ejemplo, Log_Publisher).
    • Log Rule Matches: Selecciona las casillas de verificación Accept, Drop, and Reject.
    • Log IP Errors: Selecciona la casilla de verificación Enabled.
    • Log TCP Errors: Selecciona la casilla de verificación Enabled.
    • Log TCP Events: Selecciona la casilla de verificación Enabled.
    • Formato de almacenamiento: Selecciona Lista de campos.
    • Delimitador: Ingresa , (coma) como delimitador para los eventos.
    • Opciones de almacenamiento: Selecciona todas las opciones en la lista Elementos disponibles y haz clic en <<.
    • En la pestaña IP Intelligence, selecciona el editor de registros que configuraste (por ejemplo, Log_Publisher).
  4. Haz clic en Finalizado.

Configura la asociación de perfiles de servidores virtuales en AFM de F5

  1. Ve a Tráfico local > Servidores virtuales.
  2. Selecciona el servidor virtual que deseas modificar.
  3. Ve a la pestaña Seguridad > Políticas.
  4. En la lista Log Profile, selecciona Enabled.
  5. En el campo Perfil, selecciona Logging_Profile y haz clic en <<.
  6. Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acl_policy_name security_result.detection_fields.acl_policy_name Valor de la columna22 si el formato de registro es SYSLOG; de lo contrario, valor de la columna13
acl_policy_type security_result.detection_fields.acl_policy_type Valor de la columna21 si el formato de registro es SYSLOG; de lo contrario, valor de la columna18
acl_rule_name security_result.rule_name Valor de la columna23 si el formato de registro es SYSLOG; de lo contrario, valor de la columna11
acl_rule_uuid security_result.rule_id Valor del campo acl_rule_uuid del patrón de Grok
acción security_result.action Si el valor de column25 es Drop, Reject o Block, entonces BLOCK; de lo contrario, si el valor de column25 es Accept, Accept decisively, Established o Allow, entonces ALLOW
attackID security_result.detection_fields.attackID Valor de la columna12 si el formato de registro es CSV sin src_ip
bigip_hostname intermediary.hostname Valor de column2 si el formato de registro es SYSLOG; de lo contrario, valor de column3
bigip_ip intermediary.ip Valor de la columna 2 si el formato de registro es SYSLOG; de lo contrario, valor de la columna 1
context_name additional.fields.context_name.string_value Valor de column4 si el formato de registro es SYSLOG; de lo contrario, valor de column10 si hay src_ip o valor de column5
context_type additional.fields.context_type.string_value Valor de column3 si el formato de registro es SYSLOG; de lo contrario, valor de column4 si hay src_ip, o bien valor de column4
dest_fqdn additional.fields.dest_fqdn.string_value Valor de la columna7 si el formato de registro es SYSLOG; de lo contrario, valor de la columna13
dest_geo additional.fields.dest_geo.string_value Valor de la columna14
dest_ip target.asset.ip, target.ip Valor de column8 si el formato de registro es SYSLOG; de lo contrario, valor de column6 si hay src_ip, o bien valor de column6
dest_port target.port Valor de la columna10 si el formato de registro es SYSLOG; de lo contrario, valor de la columna8 si hay src_ip, o bien valor de la columna8
drop_reason security_result.summary Valor de la columna26 si el formato de registro es SYSLOG; de lo contrario, valor de la columna19
eventId additional.fields.eventId.string_value Valor capturado en el patrón de Grok
flow_id additional.fields.flow_id.string_value Valor de la columna29 si el formato de registro es SYSLOG; de lo contrario, valor de la columna17
loglevel security_result.severity Si el valor del campo loglevel del patrón de Grok es warning, debug o notice, entonces es MEDIUM. Si el valor es info o informational, entonces es INFORMATIONAL. Si el valor es err o error, entonces es HIGH. Si el valor es alert, crit o emer, entonces es CRITICAL.
packetsReceived network.received_packets Valor de la columna15 si el formato de registro es CSV sin src_ip
inversa target.application Valor del campo de proceso del patrón de Grok
protocol_number_src network.ip_protocol Valor de column12 si el formato de registro es SYSLOG; de lo contrario, es el valor extraído de la variable ip_protocol_out
route_domain additional.fields.route_domain.string_value Valor de la columna13 si el formato de registro es SYSLOG; de lo contrario, valor de la columna9
source_fqdn additional.fields.source_fqdn.string_value Valor de la columna5 si el formato de registro es SYSLOG; de lo contrario, valor de la columna7
src_geo additional.fields.src_geo.string_value Valor de la columna8
src_ip principal.asset.ip, principal.ip Valor de column6 si el formato de registro es SYSLOG; de lo contrario, valor de column9 si el formato de registro es CSV sin src_ip; de lo contrario, valor de column5
src_port principal.port Valor de column9 si el formato de registro es SYSLOG; de lo contrario, valor de column7 si el formato de registro es CSV sin src_ip; de lo contrario, valor de column7
ts metadata.event_timestamp Valor del campo ts del patrón de Grok
vlan additional.fields.vlan.string_value Valor de la columna11 si el formato de registro es SYSLOG; de lo contrario, valor de la columna21
metadata.event_type Si existen src_ip y dest_ip, entonces NETWORK_CONNECTION; de lo contrario, si solo existe src_ip, entonces STATUS_UPDATE; de lo contrario, GENERIC_EVENT
metadata.log_type F5_AFM
metadata.product_name Administración avanzada de firewall
metadata.vendor_name F5

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.