Recopila registros de DNS de F5

En este documento, se explica cómo transferir registros de DNS de F5 a las Operaciones de seguridad de Google con Bindplane. El analizador extrae campos de los mensajes syslog de DNS de F5 con patrones de Grok basados en el campo de la aplicación y, luego, los asigna al modelo de datos unificado (UDM). Controla varias aplicaciones de F5, como gtmd, mcpd, big3d y otras, analiza campos específicos y establece el tipo de evento, la gravedad y las descripciones de UDM adecuados según el nivel de registro y la aplicación.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Un host de Windows 2016 o posterior, o un host de Linux con systemd
• Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
• Acceso con privilegios a F5 BIG-IP

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:
   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'F5_DNS'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura un grupo de servidores de registro remotos

1. Accede a la IU web de F5 BIG-IP.
2. En la pestaña Principal, ve a DNS > Entrega > Balanceo de cargas > Grupos o Tráfico local > Grupos.
3. Haz clic en Crear.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único para el grupo.
   • Usa el parámetro de configuración New Members:
     • Ingresa la dirección IP del agente de Bindplane en el campo Dirección.
     • Ingresa el número de puerto del agente de Bindplane en el campo Puerto de servicio.
5. Haz clic en Agregar > Listo.

Configura el destino del registro remoto

1. En la pestaña Principal, ve a System > Logs > Configuration > Log Destinations.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único para este destino.
   • Tipo: Selecciona Registro remoto de alta velocidad.
   • Nombre del grupo: Selecciona el grupo de servidores de registro remotos al que deseas que el sistema BIG-IP envíe mensajes de registro.
   • Protocolo: Selecciona el protocolo que se usa.
4. Haz clic en Finalizado.

Cómo crear un destino de registro remoto con formato

1. En la pestaña Principal, ve a System > Logs > Configuration > Log Destinations.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único para este destino.
   • Tipo: Selecciona Syslog remoto.
   • Formato: Selecciona el formato de registro.
   • Forward To: Selecciona High-Speed Log Destination > el destino que apunta al grupo de servidores Syslog remotos.
4. Haz clic en Finalizado.

Configura Log Publisher

1. En la pestaña Principal, ve a System > Logs > Configuration > Log Publishers.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único para este publicador.
   • Destinos: Selecciona el destino recién creado para Syslog remoto en la lista Disponible y, luego, haz clic en keyboard_double_arrow_left Mover para mover el destino a la lista Seleccionado.
4. Haz clic en Finalizado.

Configura un perfil de registro de DNS personalizado

1. En la pestaña Principal, ve a DNS > Delivery > Profiles > Other > DNS Logging or Local Traffic > Profiles > Other > DNS Logging.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único para este perfil.
   • Publicador de registros: Selecciona el destino recién creado al que el sistema envía las entradas de registro de DNS.
   • Log Queries: Selecciona la casilla de verificación Enabled.
   • Log Responses: Selecciona la casilla de verificación Enabled.
   • Incluir ID de consulta: Selecciona la casilla de verificación Habilitado.
4. Haz clic en Finalizado.

Agrega el perfil de DNS al objeto de escucha de DNS

1. En la pestaña Principal, ve a DNS > Delivery > Listeners > selecciona el receptor de DNS.
2. En el perfil de DNS de la sección Servicio, selecciona el perfil de DNS que configuraste anteriormente.
3. Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
application	principal.application	Se asigna directamente desde el campo application.
cipher_name	network.tls.cipher	Se asigna directamente desde el campo cipher_name.
command_line	principal.process.command_line	Se asigna directamente desde el campo command_line.
desc	security_result.description	Se asigna directamente desde el campo desc.
desc_icrd	security_result.description	Se asigna directamente desde el campo desc_icrd.
dest_ip	target.ip	Se asigna directamente desde el campo dest_ip.
dest_port	target.port	Se asigna directamente desde el campo dest_port.
file_path	principal.process.file.full_path	Se asigna directamente desde el campo file_path. Se establece en true si level es "alert"; de lo contrario, no está presente. Se establece en true si level es "alert"; de lo contrario, no está presente.
msg3	security_result.description	Se asigna directamente desde el campo msg3 cuando application es "run-parts".
	metadata.event_type	Se establece en GENERIC_EVENT si event_type está vacío; de lo contrario, se asigna desde event_type. Se codifica como "DNS". Está codificado como "F5".
principal_hostname	principal.hostname	Se asigna directamente desde el campo principal_hostname.
proc_id	principal.process.pid	Se asigna directamente desde el campo proc_id.
received_bytes	network.received_bytes	Se asigna directamente desde el campo received_bytes.
resource_id	target.resource.id	Se asigna directamente desde el campo resource_id.
resource_parent	principal.resource.parent	Se asigna directamente desde el campo resource_parent.
response_code	network.http.response_code	Se asigna directamente desde el campo response_code. Se determina según el campo level.
src_ip	principal.ip	Se asigna directamente desde el campo src_ip.
src_port	principal.port	Se asigna directamente desde el campo src_port.
tls_version	network.tls.version	Se asigna directamente desde el campo tls_version.
userName	principal.user.userid	Se asigna directamente desde el campo userName.
when	event.timestamp	Se calcula a partir de datetime1 y timezone o datetime y timezone.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.