Raccogliere i log DNS F5

Questo documento spiega come importare i log DNS F5 in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai messaggi syslog DNS F5 utilizzando pattern grok in base al campo dell'applicazione, poi li mappa al modello Unified Data Model (UDM). Gestisce varie applicazioni F5 come gtmd, mcpd, big3d e altre, analizzando campi specifici e impostando il tipo di evento UDM, la gravità e le descrizioni appropriati in base al livello di log e all'applicazione.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un host Windows 2016 o versioni successive oppure Linux con systemd
• Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
• Accesso privilegiato a F5 BIG-IP

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

1. Accedi al file di configurazione:
   • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'F5_DNS'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <customer_id> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura un pool di server di logging remoti

1. Accedi all'UI web di F5 BIG-IP.
2. Nella scheda Principale, vai a DNS > Distribuzione > Bilanciamento del carico > Pool o traffico locale > Pool.
3. Fai clic su Crea.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco per il pool.
   • Utilizzo dell'impostazione Nuovi membri:
     • Inserisci l'indirizzo IP dell'agente Bindplane nel campo Indirizzo.
     • Inserisci il numero di porta dell'agente Bindplane nel campo Porta di servizio.
5. Fai clic su Aggiungi > Fine.

Configura la destinazione dei log remoti

1. Nella scheda Principale, vai a Sistema > Log > Configurazione > Destinazioni log.
2. Fai clic su Crea.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco per questa destinazione.
   • Tipo: seleziona Log remoto ad alta velocità.
   • Nome pool: seleziona il pool di server di log remoti a cui vuoi che il sistema BIG-IP invii i messaggi di log.
   • Protocollo: seleziona il protocollo utilizzato.
4. Fai clic su Fine.

Creazione di una destinazione log remota formattata

1. Nella scheda Principale, vai a Sistema > Log > Configurazione > Destinazioni log.
2. Fai clic su Crea.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco per questa destinazione.
   • Tipo: seleziona Syslog remoto.
   • Formato: seleziona il formato del log.
   • Inoltra a: seleziona Destinazione log ad alta velocità > la destinazione che punta al pool di server Syslog remoti.
4. Fai clic su Fine.

Configura Log Publisher

1. Nella scheda Principale, vai a Sistema > Log > Configurazione > Publisher di log.
2. Fai clic su Crea.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco per questo editore.
   • Destinazioni: seleziona la destinazione appena creata per Syslog remoto dall'elenco Disponibili, quindi fai clic su keyboard_double_arrow_left Sposta per spostare la destinazione nell'elenco Selezionati.
4. Fai clic su Fine.

Configura un profilo di logging DNS personalizzato

1. Nella scheda Principale, vai a DNS > Distribuzione > Profili > Altro > Registrazione DNS o traffico locale > Profili > Altro > Registrazione DNS.
2. Fai clic su Crea.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco per questo profilo.
   • Log Publisher: seleziona la destinazione appena creata a cui il sistema invia le voci di log DNS.
   • Log Queries: seleziona la casella di controllo Attivata.
   • Registra risposte: seleziona la casella di controllo Attivata.
   • Includi ID query: seleziona la casella di controllo Attivata.
4. Fai clic su Fine.

Aggiungi il profilo DNS al listener DNS

1. Nella scheda Principale, vai a DNS > Pubblicazione > Listener > seleziona il listener DNS.
2. Nel profilo DNS della sezione Servizio, seleziona il profilo DNS che hai configurato in precedenza.
3. Fai clic su Aggiorna.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
application	principal.application	Mappato direttamente dal campo application.
cipher_name	network.tls.cipher	Mappato direttamente dal campo cipher_name.
command_line	principal.process.command_line	Mappato direttamente dal campo command_line.
desc	security_result.description	Mappato direttamente dal campo desc.
desc_icrd	security_result.description	Mappato direttamente dal campo desc_icrd.
dest_ip	target.ip	Mappato direttamente dal campo dest_ip.
dest_port	target.port	Mappato direttamente dal campo dest_port.
file_path	principal.process.file.full_path	Mappato direttamente dal campo file_path. Impostato su true se level è "alert", altrimenti non presente. Impostato su true se level è "alert", altrimenti non presente.
msg3	security_result.description	Mappato direttamente dal campo msg3 quando application è "run-parts".
	metadata.event_type	Impostato su GENERIC_EVENT se event_type è vuoto, altrimenti mappato da event_type. Codificato in modo permanente su "DNS". Codificato su "F5".
principal_hostname	principal.hostname	Mappato direttamente dal campo principal_hostname.
proc_id	principal.process.pid	Mappato direttamente dal campo proc_id.
received_bytes	network.received_bytes	Mappato direttamente dal campo received_bytes.
resource_id	target.resource.id	Mappato direttamente dal campo resource_id.
resource_parent	principal.resource.parent	Mappato direttamente dal campo resource_parent.
response_code	network.http.response_code	Mappato direttamente dal campo response_code. Determinato in base al campo level.
src_ip	principal.ip	Mappato direttamente dal campo src_ip.
src_port	principal.port	Mappato direttamente dal campo src_port.
tls_version	network.tls.version	Mappato direttamente dal campo tls_version.
userName	principal.user.userid	Mappato direttamente dal campo userName.
when	event.timestamp	Calcolato da datetime1 e timezone o datetime e timezone.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.