Recolha registos do F5 BIG-IP APM

Compatível com:

Este documento descreve como pode recolher registos do F5 BIG-IP Access Policy Manager (APM) através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento F5_BIGIP_APM.

Configure o F5 BIG-IP APM

  1. Inicie sessão no portal do utilitário de configuração do BIG-IP com as credenciais de administrador.
  2. Selecione Principal > Sistema > Registos > Configuração > Registo remoto.

  3. Na secção Propriedades, faça o seguinte:

    • No campo IP remoto, introduza o endereço IP do encaminhador do Google Security Operations.
    • No campo Porta remota, introduza um número de porta elevado.

  4. Clique em Adicionar.

  5. Clique em Atualizar.

    Para registos do APM, apenas é suportado o formato syslog da Berkeley Software Distribution (BSD).

    Com base nas assinaturas no APM, o coletor processa apenas registos do APM. O coletor de eventos F5 BIG-IP APM também suporta registos de processamento múltiplo do dispositivo LTM 11.6 para 12.1.1.

    Se estiver a usar o iRule, use o formato recomendado do iRule. O Google Security Operations suporta apenas o seguinte formato iRule:

    # log_header_requests
###################################################################################
#################################################
# Purpose: logs header information to Local Traffic log
# #
#
# Update-Log Date By Description
# Created 02/07/2020 E01961 Initial implementation
#
#
###################################################################################
################################################
when HTTP_REQUEST {
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host]
[HTTP::uri]"
log local5. "================="
log local5. "$LogString (request)"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# set UserID [URI::query "?[HTTP::payload]" "UserID"]
# log local0. "User $UserID attempted login from [IP::client_addr] and referer:
[HTTP::header "Referer"]"
# log local0. "============================================="
}
when HTTP_RESPONSE {
log local5. "=================="
log local5. "$LogString (response) - status: [HTTP::status]"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# log local0. "============================================="

Configure o DNS F5 BIG-IP

Para configurar o DNS F5 BIG-IP, conclua as seguintes tarefas:

Crie um conjunto de servidores de registo remoto

  1. No separador Principal, selecione DNS > Entrega > Equilíbrio de carga > Pools ou tráfego local > Pools.
  2. Na janela Lista de pools apresentada, clique em Criar.
  3. Na janela Novo conjunto apresentada, no campo Nome, indique um nome exclusivo para o conjunto.
  4. Na secção Novos membros, adicione o endereço IP de cada servidor de registo remoto que quer incluir no conjunto:
    1. No campo Endereço, introduza o endereço IP do encaminhador do Google Security Operations ou selecione um endereço de nó na lista de nós.
    2. No campo Porta de serviço, escreva um número de serviço ou selecione um nome de serviço na lista. Certifique-se de que configurou a porta de registo remoto correta.
  5. Clique em Adicionar e, de seguida, em Concluído.

Crie um destino de registo remoto de alta velocidade

  1. No separador Principal, selecione Sistema > Registos > Configuração > Destinos dos registos.
  2. Na janela Destinos de registo apresentada, clique em Criar.
  3. No campo Nome, indique um nome exclusivo e identificável para este destino.
  4. Na lista Tipo, selecione Registo de alta velocidade remoto.
  5. Na lista Nome do conjunto, selecione o conjunto de servidores de registo remotos para os quais quer que o sistema BIG-IP envie mensagens de registo.
  6. Na lista Protocolo, selecione o protocolo usado pelos membros do conjunto de registo de alta velocidade.
  7. Clique em Concluído.

Crie um destino de registo remoto de alta velocidade formatado

  1. No separador Principal, selecione Sistema > Registos > Configuração > Destinos dos registos.
  2. Na janela Destinos de registo apresentada, clique em Criar.
  3. No campo Nome, indique um nome exclusivo e identificável para este destino.
  4. Na lista Tipo, selecione um destino de registo formatado como Syslog remoto. O sistema BIG-IP está agora configurado para enviar uma string de texto formatada para os servidores de registo.
  5. Na lista Tipo, selecione um formato para os registos.
  6. No separador Encaminhar para, selecione a lista Destino do registo de alta velocidade e, em seguida, selecione o destino que aponta para um conjunto de servidores syslog remotos para os quais quer que o sistema BIG-IP envie mensagens de registo.
  7. Clique em Concluído.

Crie um publicador

  1. No separador Principal, selecione Sistema > Registos > Configuração > Publicadores de registos.
  2. Na janela Registar publicadores apresentada, clique em Criar.
  3. No campo Nome, indique um nome exclusivo e identificável para o publicador.
  4. Na lista Publicador de registos, selecione o destino criado anteriormente na lista disponível.
  5. Para mover o destino para a lista selecionada, clique em << Mover.
  6. Se estiver a usar um destino formatado, selecione o destino recém-criado que corresponda aos seus servidores de registo, como Syslog remoto, Splunk ou ArcSight.
  7. Clique em Concluído.

Crie um perfil de registo de DNS personalizado

  1. No separador Principal, selecione DNS > Entrega > Perfis > Outro Registo de DNS ou Tráfego local > Perfis > Outros > Registo de DNS.
  2. Na janela Lista de perfis de registo de DNS apresentada, clique em Criar.
  3. No campo Nome, indique um nome exclusivo para o perfil.
  4. Na lista Registar publicador, selecione um destino para o qual o sistema BIG-IP envia entradas de registo DNS.
  5. Se quiser que o sistema BIG-IP:
    • Para registar todas as consultas de DNS, na definição Registar consultas, certifique-se de que a caixa de verificação ativada está selecionada.
    • Para registar todas as respostas de DNS, na definição Registar respostas, selecione a caixa de verificação ativada.
    • Para incluir o ID da consulta enviado pelo cliente nas mensagens de registo, na definição Incluir ID da consulta, selecione a caixa de verificação ativada.
  6. Clique em Concluído.

Adicione um perfil de registo de DNS ao ouvinte

  1. No separador Principal, selecione DNS > Fornecimento > Ouvintes > Ouvinte de DNS.
  2. Na secção Serviço, na lista Perfil de DNS, selecione o perfil de DNS que configurou anteriormente.
  3. Clique em Atualizar.

Configure o encaminhador do Google Security Operations para carregar registos do F5 BIG-IP APM

  1. Aceda a Definições do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  4. Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  5. No campo Nome do coletor, introduza um nome.
  6. Selecione F5 BIGIP Access Policy Manager como o Tipo de registo.
  7. Selecione Syslog como o tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e se dirige aos dados do syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve dados syslog.
  9. Clique em Enviar.

Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador F5 BIG-IP APM extrai campos de mensagens syslog, categorizando-os com base na origem da aplicação (tmsh, tmm, apmd, httpd ou outra). Em seguida, mapeia estes campos extraídos para o UDM, processando vários formatos de registos e enriquecendo os dados com metadados, como gravidade, localização e informações do utilizador.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
aplicação principal.application O valor é retirado do campo application extraído pelo filtro grok.
bytes_in network.received_bytes O valor é retirado do campo bytes_in extraído pelo filtro grok e convertido em número inteiro sem sinal.
bytes_out network.sent_bytes O valor é retirado do campo bytes_out extraído pelo filtro grok e convertido em número inteiro sem sinal.
cmd_data principal.process.command_line O valor é retirado do campo cmd_data extraído pelo filtro kv.
destination_ip target.ip O valor é retirado do campo destination_ip extraído pelo filtro grok.
destination_port target.port O valor é retirado do campo destination_port extraído pelo filtro grok e convertido em número inteiro.
pasta principal.process.file.full_path O valor é retirado do campo folder extraído pelo filtro kv.
geoCountry principal.location.country_or_region O valor é retirado do campo geoCountry extraído pelo filtro grok.
geoState principal.location.state O valor é retirado do campo geoState extraído pelo filtro grok.
inner_msg security_result.description O valor é retirado do campo inner_msg extraído pelo filtro grok quando não está disponível nenhuma outra descrição específica.
ip_protocol network.ip_protocol O valor é retirado do campo ip_protocol extraído pelo filtro grok.
principal_hostname principal.hostname O valor é retirado do campo principal_hostname extraído pelo filtro grok.
principal_ip principal.ip O valor é retirado do campo principal_ip extraído pelo filtro grok.
process_id principal.process.pid O valor é retirado do campo process_id extraído pelo filtro grok.
função user_role.name O valor é retirado do campo role extraído pelo filtro grok. Se o campo role contiver "admin" (não é sensível a maiúsculas e minúsculas), o valor é definido como "ADMINISTRATOR".
gravidade security_result.severity_details O valor original da mensagem syslog é armazenado aqui. O valor é derivado do campo severity através da lógica condicional:
CRITICAL -> CRITICAL
ERR -> ERROR
ALERT, EMERGENCY -> HIGH
INFO, NOTICE -> INFORMATIONAL
DEBUG -> LOW
WARN -> MEDIUM
source_ip principal.ip O valor é retirado do campo source_ip extraído pelo filtro grok.
source_port principal.port O valor é retirado do campo source_port extraído pelo filtro grok e convertido em número inteiro.
estado security_result.summary O valor é retirado do campo status extraído pelo filtro kv.
timestamp metadata.event_timestamp, timestamp O valor é retirado do campo timestamp extraído pelo filtro grok e analisado num objeto de data/hora. O campo timestamp no objeto event de nível superior também recebe este valor.
utilizador principal.user.userid O valor é retirado do campo user extraído pelo filtro grok, após a remoção dos prefixos "id\" ou "ID\". O valor é derivado com base na presença de outros campos:
Se user existir: USER_UNCATEGORIZED
Se source_ip e destination_ip existirem: NETWORK_CONNECTION
Se principal_ip ou principal_hostname existirem: STATUS_UPDATE
Caso contrário: GENERIC_EVENT codificado como "BIGIP_APM". Codificado como "F5". Se o campo result for "failed", o valor é definido como "BLOCK".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.