Mengumpulkan log F5 AFM
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log F5 Advanced Firewall Management ke Google Security Operations menggunakan BindPlane. Parser mentransformasi log dari format SYSLOG dan CSV atau CSV menjadi Model Data Terpadu (UDM). Pertama-tama, pesan log akan diuraikan menggunakan pola grok khusus untuk format SYSLOG. Jika gagal, pesan log akan diproses sebagai file CSV, lalu kolom akan diekstrak dan dipetakan ke struktur UDM.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika dijalankan di belakang proxy, port firewall terbuka
- Akses istimewa ke F5 BIG-IP dan F5 Advanced Firewall Management
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
- Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5145" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'F5_AFM' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
- Ganti
<customer_id>dengan ID Pelanggan yang sebenarnya. - Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengaktifkan F5 BIG-IP Advanced Firewall Manager
- Login ke konsol pengelolaan perangkat BIG-IP.
- Buka Sistem > Lisensi.
- Pastikan Advanced Firewall Manager telah diberi lisensi dan diaktifkan.
- Untuk mengaktifkan Advanced Firewall Manager, buka System > Resource > Provisioning.
- Centang kotak di kolom Penyediaan, lalu pilih Nominal dari daftar.
- Klik Kirim.
Mengonfigurasi Kumpulan Logging di F5 AFM
- Buka Local Traffic > Pools.
- Klik Buat.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan nama untuk pool logging (misalnya, logging_pool).
- Health Monitor: Di daftar Available, pilih TCP, lalu klik <<.
- Di tab Resource, pilih Logging Pool yang Anda buat sebelumnya dari daftar Node Name.
- Di kolom Address, masukkan alamat IP agen Bindplane.
- Di kolom Service Port, masukkan
5145atau port lain seperti yang Anda tentukan di agen Bindplane. - Klik Tambahkan.
- Klik Selesai.
Mengonfigurasi tujuan log yang diformat di F5 AFM
- Buka System > Logs > Configuration > Log Destinations.
- Klik Buat.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan nama untuk tujuan format logging (misalnya,
Logging_Format_Destination). - Deskripsi: Masukkan deskripsi.
- Jenis: Pilih Remote Syslog.
- Format Syslog: Pilih Syslog.
- Tujuan Log Kecepatan Tinggi: Pilih tujuan logging kecepatan tinggi Anda (misalnya,
Logging_HSL_Destination).
- Nama: Masukkan nama untuk tujuan format logging (misalnya,
- Klik Selesai.
Mengonfigurasi Log Publisher di F5 AFM
- Buka System > Logs > Configuration > Log Publishers.
- Klik Buat.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan nama penayang (misalnya,
Log_Publisher). - Deskripsi: Masukkan deskripsi.
- Tujuan: Pilih nama tujuan log yang Anda buat pada langkah Konfigurasi Kumpulan Logging di F5 AFM, lalu klik << untuk menambahkan item ke daftar Terpilih.
- Nama: Masukkan nama penayang (misalnya,
Mengonfigurasi Profil Logging di F5 AFM
- Buka Keamanan > Log Peristiwa > Profil Pencatatan Log.
- Klik Buat.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan nama untuk profil log (misalnya, Logging_Profile).
- Network Firewall: Centang kotak Diaktifkan.
- Publisher: Pilih penerbit log yang Anda konfigurasi sebelumnya (misalnya,
Log_Publisher). - Pencocokan Aturan Log: Centang kotak Terima, Hapus, dan Tolak.
- Log IP Errors: Centang kotak Enabled.
- Log TCP Errors: Centang kotak Enabled.
- Log TCP Events: Pilih kotak centang Enabled.
- Format Penyimpanan: Pilih Daftar Kolom.
- Pembatas: Masukkan
,(koma) sebagai pembatas untuk peristiwa. - Opsi Penyimpanan: Pilih semua opsi dalam daftar Item yang Tersedia, lalu klik <<.
- Di tab IP Intelligence, pilih penerbit log yang Anda konfigurasi (misalnya,
Log_Publisher).
- Klik Selesai.
Mengonfigurasi Asosiasi Profil Server Virtual di F5 AFM
- Buka Local Traffic > Virtual Servers.
- Pilih server virtual yang akan diubah.
- Buka tab Keamanan > Kebijakan.
- Dari daftar Log Profile, pilih Enabled.
- Dari kolom Profile, pilih Logging_Profile, lalu klik <<.
- Klik Perbarui.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| acl_policy_name | security_result.detection_fields.acl_policy_name | Nilai column22 jika format log adalah SYSLOG, atau nilai column13 |
| acl_policy_type | security_result.detection_fields.acl_policy_type | Nilai column21 jika format log adalah SYSLOG, atau nilai column18 |
| acl_rule_name | security_result.rule_name | Nilai column23 jika format log adalah SYSLOG, atau nilai column11 |
| acl_rule_uuid | security_result.rule_id | Nilai kolom acl_rule_uuid dari pola grok |
| tindakan | security_result.action | Jika nilai column25 adalah Drop, Reject, atau Block, maka BLOKIR. Jika nilai column25 adalah Accept, Accept decisively, Established, atau Allow, maka PERBOLEHKAN |
| attackID | security_result.detection_fields.attackID | Nilai column12 jika format log adalah CSV tanpa src_ip |
| bigip_hostname | intermediary.hostname | Nilai column2 jika format log adalah SYSLOG, atau nilai column3 |
| bigip_ip | intermediary.ip | Nilai column2 jika format log adalah SYSLOG, atau nilai column1 |
| context_name | additional.fields.context_name.string_value | Nilai column4 jika format log adalah SYSLOG, atau nilai column10 jika ada src_ip, atau nilai column5 |
| context_type | additional.fields.context_type.string_value | Nilai column3 jika format log adalah SYSLOG, atau nilai column4 jika ada src_ip, atau nilai column4 |
| dest_fqdn | additional.fields.dest_fqdn.string_value | Nilai column7 jika format log adalah SYSLOG, atau nilai column13 |
| dest_geo | additional.fields.dest_geo.string_value | Nilai column14 |
| dest_ip | target.asset.ip, target.ip | Nilai column8 jika format log adalah SYSLOG, atau nilai column6 jika ada src_ip, atau nilai column6 |
| dest_port | target.port | Nilai column10 jika format log adalah SYSLOG, atau nilai column8 jika ada src_ip, atau nilai column8 |
| drop_reason | security_result.summary | Nilai column26 jika format log adalah SYSLOG, atau nilai column19 |
| eventId | additional.fields.eventId.string_value | Nilai yang diambil dalam pola grok |
| flow_id | additional.fields.flow_id.string_value | Nilai column29 jika format log adalah SYSLOG, atau nilai column17 |
| loglevel | security_result.severity | Jika nilai kolom loglevel dari pola grok adalah warning,debug, atau notice, maka MEDIUM, jika nilai adalah info atau informational, maka INFORMATIONAL, jika nilai adalah err atau error, maka HIGH, jika nilai adalah alert, crit, atau emer, maka CRITICAL |
| packetsReceived | network.received_packets | Nilai column15 jika format log adalah CSV tanpa src_ip |
| mundur | target.application | Nilai kolom proses dari pola grok |
| protocol_number_src | network.ip_protocol | Nilai column12 jika format log adalah SYSLOG, atau nilai yang diekstrak dari variabel ip_protocol_out |
| route_domain | additional.fields.route_domain.string_value | Nilai column13 jika format log adalah SYSLOG, atau nilai column9 |
| source_fqdn | additional.fields.source_fqdn.string_value | Nilai column5 jika format log adalah SYSLOG, atau nilai column7 |
| src_geo | additional.fields.src_geo.string_value | Nilai column8 |
| src_ip | principal.asset.ip, principal.ip | Nilai column6 jika format log adalah SYSLOG, atau nilai column9 jika format log adalah CSV tanpa src_ip, atau nilai column5 |
| src_port | principal.port | Nilai column9 jika format log adalah SYSLOG, atau nilai column7 jika format log adalah CSV tanpa src_ip, atau nilai column7 |
| ts | metadata.event_timestamp | Nilai kolom ts dari pola grok |
| VLAN | additional.fields.vlan.string_value | Nilai column11 jika format log adalah SYSLOG, atau nilai column21 |
| metadata.event_type | Jika src_ip dan dest_ip ada, maka NETWORK_CONNECTION, jika hanya src_ip yang ada, maka STATUS_UPDATE, jika tidak ada, maka GENERIC_EVENT | |
| metadata.log_type | F5_AFM | |
| metadata.product_name | Pengelolaan Firewall Lanjutan | |
| metadata.vendor_name | F5 |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.