F5 VPN のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して F5 VPN ログを Google Security Operations に取り込む方法について説明します。パーサーは、ログからセキュリティ関連の情報を抽出します。正規表現を使用して、タイムスタンプ、IP アドレス、ホスト名などのキーフィールドを特定して解析し、このデータを分析用に Google SecOps Unified Data Model(UDM)形式に構造化します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- F5 BIG-IP APM(Access Policy Manager)への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'F5_VPN' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
F5 BIG-IP APM v11.x 以降の Syslog を構成する
- CLI または SSH を使用して F5 BIG-IP APM にログインします。
次のコマンドを入力して、syslog サーバーを追加します。
tmsh syslog remote server {<Name> {host <bindplane-ip> remote-port <bindplane-port>}}次のパラメータを置き換えてください。
<Name>: F5 BIG-IP APM ソースの名前を入力します(例:BIGIP_APM)。<bindplane-ip>: Bindplane エージェントの IP アドレスを入力します。<bindplane-port>: Bindplane エージェントのポート番号を入力します。
次のコマンドを入力して変更を保存します。
tmsh save sys config partitions all
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| cmd_data | principal.process.command_line | 値は msg フィールドから抽出されます |
| errdefs_msgno | additional.fields.errdefs_msgno.string_value | 値は msg フィールドから抽出されます |
| event_time | metadata.event_timestamp | 値が解析され、タイムスタンプに変換されます。 |
| hostname | principal.hostname、observer.hostname、principal.asset.hostname、observer.asset.hostname、hostip | 値はメッセージ フィールドから抽出され、UDM のホスト名フィールドへの入力に使用されます。hostip フィールドの入力にも使用されます |
| msg | security_result.description | この値はメッセージ フィールドから抽出され、security_result オブジェクトの説明フィールドに入力されます。 |
| prin_ip | principal.ip、principal.asset.ip | 値はメッセージ フィールドから抽出され、UDM の IP アドレス フィールドに値を設定するために使用されます。 |
| additional.fields.Canonical_Info.string_value | 値はログメッセージから取得されます | |
| additional.fields.IDP.string_value | 値はログメッセージから取得されます | |
| additional.fields.Plugin_Support.string_value | 値はログメッセージから取得されます | |
| additional.fields.SMB Stage.string_value | 値はログメッセージから取得されます | |
| additional.fields.SP.string_value | 値はログメッセージから取得されます | |
| additional.fields.Timezone.string_value | 値はログメッセージから取得されます | |
| additional.fields.Tunnel Type.string_value | 値はログメッセージから取得されます | |
| additional.fields.UI_Mode.string_value | 値はログメッセージから取得されます | |
| additional.fields.Version.string_value | 値はログメッセージから取得されます | |
| additional.fields.from_rule_item.string_value | 値はログメッセージから取得されます | |
| additional.fields.policy_result.string_value | 値はログメッセージから取得されます | |
| additional.fields.ppp_id.string_value | 値はログメッセージから取得されます | |
| additional.fields.resource.string_value | 値はログメッセージから取得されます | |
| additional.fields.rule.string_value | 値はログメッセージから取得されます | |
| additional.fields.server_vip_ip.string_value | 値はログメッセージから取得されます | |
| additional.fields.server_vip_name.string_value | 値はログメッセージから取得されます | |
| additional.fields.to_rule_item.string_value | 値はログメッセージから取得されます | |
| additional.fields.tunnel_resource.string_value | 値はログメッセージから取得されます | |
| metadata.description | 値はログメッセージから取得されます | |
| metadata.event_type | 一部のイベントではパーサーコードで値がハードコードされ、他のイベントではログメッセージから値が導出されます。 | |
| metadata.log_type | 値はバッチタイプに設定されます | |
| metadata.product_event_type | 値はログメッセージから取得されます | |
| metadata.product_name | 値はパーサーコードにハードコードされています | |
| metadata.vendor_name | 値はパーサーコードにハードコードされています | |
| network.application_protocol | 値はログメッセージから取得されます | |
| network.direction | 値はログメッセージから取得されます | |
| network.http.method | 値はログメッセージから取得されます | |
| network.http.parsed_user_agent | 値は network.http.user_agent フィールドから取得されます | |
| network.http.referral_url | 値はログメッセージから取得されます | |
| network.http.response_code | 値はログメッセージから取得されます | |
| network.http.user_agent | 値はログメッセージから取得されます | |
| network.ip_protocol | 値はログメッセージから取得されます | |
| network.received_bytes | 値はログメッセージから取得されます | |
| network.sent_bytes | 値はログメッセージから取得されます | |
| network.session_id | 値はログメッセージから取得されます | |
| network.tls.cipher | 値はログメッセージから取得されます | |
| network.tls.version | 値はログメッセージから取得されます | |
| observer.asset.hostname | 値はホスト名フィールドに設定されます | |
| observer.asset.ip | 値は hostip フィールドに設定されます | |
| observer.hostname | 値はホスト名フィールドに設定されます | |
| observer.ip | 値は hostip フィールドに設定されます | |
| principal.application | 値はログメッセージから取得されます | |
| principal.asset.hostname | 値はホスト名フィールドに設定されます | |
| principal.asset.ip | 値は、存在する場合は hostip フィールドまたは prin_ip フィールドに設定されます。 | |
| principal.asset.product_object_id | 値はログメッセージから取得されます | |
| principal.hostname | 値はホスト名フィールドに設定されます | |
| principal.ip | 値は、存在する場合は hostip フィールドまたは prin_ip フィールドに設定されます。 | |
| principal.location.country_or_region | 値はログメッセージから取得されます | |
| principal.platform | 値はログメッセージから取得されます | |
| principal.port | 値はログメッセージから取得されます | |
| principal.process.command_line | 値はログメッセージから取得されます | |
| principal.process.pid | 値はログメッセージから取得されます | |
| principal.resource.name | 値はログメッセージから取得されます | |
| principal.resource.type | 一部のイベントではパーサーコードで値がハードコードされ、他のイベントではログメッセージから値が導出されます。 | |
| principal.user.email_addresses | 値はログメッセージから取得されます | |
| principal.user.userid | 値はログメッセージから取得されます | |
| security_result.action | 値はログメッセージから取得されます | |
| security_result.description | 値はログメッセージから取得されます | |
| security_result.rule_name | 値はログメッセージから取得されます | |
| security_result.severity | 値はログメッセージから取得されます | |
| security_result.severity_details | 値はログメッセージから取得されます | |
| security_result.summary | 値はログメッセージから取得されます | |
| src_ip | 値はログメッセージから取得されます | |
| src.location.country_or_region | 値はログメッセージから取得されます | |
| src.port | 値はログメッセージから取得されます | |
| target.asset.hostname | 値はログメッセージから取得されます | |
| target.asset.ip | 値はログメッセージから取得されます | |
| target.hostname | 値はログメッセージから取得されます | |
| target.ip | 値はログメッセージから取得されます | |
| target.port | 値はログメッセージから取得されます | |
| target.process.command_line | 値はログメッセージから取得されます | |
| target.process.pid | 値はログメッセージから取得されます | |
| target.resource.id | 値はログメッセージから取得されます | |
| target.url | 値はログメッセージから取得されます | |
| target.user.userid | 値はログメッセージから取得されます |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。