Diese Seite wurde von der Cloud Translation API übersetzt.

F5 BIG-IP ASM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie F5 BIG-IP Application Security Manager (ASM)-Protokolle mithilfe von Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet verschiedene Protokollformate (z. B. syslog, CSV und CEF) und normalisiert sie in UDM. Dabei werden Grok-Muster und Schlüssel/Wert-Extraktionen zum Parsen von Feldern, XML-Filter für Details zu Verstößen, bedingte Logik für die Ereigniskategorisierung und die Zuordnung der Schwere verwendet. Außerdem werden extrahierte Felder in das UDM-Schema zusammengeführt.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für F5 BIG-IP ASM.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Remote-Logging auf F5 BIG-IP ASM konfigurieren

Melden Sie sich in der Web-UI der ASM Console an.
Gehen Sie zu Sicherheit > Ereignisprotokolle > Protokollprofile.
Klicken Sie auf Erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Profilname: Geben Sie einen eindeutigen Namen für das Profil ein.
- Wählen Sie Anwendungssicherheit aus.
- Wählen Sie auf dem Tab „Anwendungssicherheit“ die Option Erweitert aus, falls zusätzliche Konfigurationen erforderlich sind.
- Speicherziel: Wählen Sie Remote Storage aus.
- Logging Format (Protokollformat): Wählen Sie „Common Event Format“ (CEF) aus.
- Löschen Sie den lokalen Speicher.
- Protocol (Protokoll): Wählen Sie je nach Bindplane-Agentkonfiguration UDP oder TCP aus.
- Serveradressen: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Standardmäßig ausgewählt: 514. Aktualisieren Sie die Porteinstellung gemäß der Bindplane-Agentkonfiguration.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Logging gewährleisten aus.
- Wählen Sie Erkannte Anomalien melden aus.
- Einrichtung: Wählen Sie LOG_LOCAL6 aus. Optional können Sie die Einrichtungskategorie des protokollierten Traffics auswählen. Die möglichen Werte sind LOG_LOCAL0 bis LOG_LOCAL7.
Hinweis: Wenn Sie mehrere Sicherheitsrichtlinien haben, können Sie für beide Anwendungen denselben Remote-Logging-Server verwenden und die Daten mit dem Filter für die Einrichtung für jede Anwendung sortieren.
Klicken Sie auf Fertig.

Logging-Profil mit einer Sicherheitsrichtlinie verknüpfen

Klicken Sie auf Lokaler Traffic > Virtuelle Server.
Klicken Sie auf den Namen des virtuellen Servers, der von der Sicherheitsrichtlinie verwendet wird.
Wählen Sie im Menü Sicherheit die Option Richtlinien aus.
Die Einstellung Anwendungssicherheitsrichtlinie muss auf Aktiviert und Richtlinie auf die gewünschte Sicherheitsrichtlinie festgelegt sein.
Die Einstellung Log-Profil muss auf Aktiviert festgelegt sein.
Wählen Sie in der Liste Verfügbar das Profil aus, das für die Sicherheitsrichtlinie verwendet werden soll, und verschieben Sie es in die Liste Ausgewählt.
Klicken Sie auf Aktualisieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`act`	`security_result.action`	Wenn `act` `blocked` ist, wird BLOCK zugeordnet. Wenn `act` `passed` oder `legal` ist, wird „ZULASSEN“ zugeordnet. Wenn `act` `alerted` enthält, wird QUARANTÄNE zugeordnet. Andernfalls ist die Standardeinstellung für das Splunk-Format „ALLOW“.
`app`	`network.application_protocol`	Wird direkt auf HTTPS zugeordnet, wenn es im Rohprotokoll vorhanden ist.
`attack_type`	`security_result.category_details`, `metadata.description`	Wird in Verbindung mit anderen Feldern verwendet, um `security_result.category` zu bestimmen. Wenn keine andere Beschreibung verfügbar ist, wird sie zur Ereignisbeschreibung. Bei Protokollen im Splunk-Format wird damit die Kategorie und Zusammenfassung ermittelt, wenn `violations` leer ist.
`client_ip`	`principal.ip`, `principal.asset.ip`	Wird direkt der Haupt-IP-Adresse zugeordnet.
`cn1`	`network.http.response_code`	Wird direkt einem HTTP-Antwortcode zugeordnet.
`cn2`	`security_result.severity_details`	Wird direkt den Details zum Schweregrad des Sicherheitsergebnisses zugeordnet. Wird mit `response_code` verwendet, um festzustellen, ob ein Ereignis eine Benachrichtigung ist.
`column1`	`principal.ip`, `principal.asset.ip`	Wird für bestimmte CSV-formatierte Protokolle der Haupt-IP zugeordnet.
`column2`	`target.port`	Wird für bestimmte CSV-formatierte Protokolle dem Zielport zugeordnet.
`column3`	`target.ip`, `target.asset.ip`	Wird für bestimmte CSV-formatierte Protokolle der Ziel-IP zugeordnet.
`column4`	`security_result.severity`	Die Schwere des Sicherheitsergebnisses für bestimmte CSV-formatierte Protokolle. Die Werte `Information`, `Informational`, `0` und `4` entsprechen „INFORMATIONS“. `Warning`, `1` und `3` werden MITTEL zugeordnet. `Error` und `2` werden FEHLER zugeordnet. `Critical`, `CRITICAL` und `critical` werden KRITISCH zugeordnet.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Enthält XML-Daten. `viol_name` in `request-violations` wird extrahiert und als Erkennungsfelder mit dem Schlüssel `Request Violation Name_index` hinzugefügt. `viol_name` in `response_violations` wird extrahiert und als Erkennungsfelder mit dem Schlüssel `Response Violation Name_index` hinzugefügt. `response_code` in `response_violations` wird `network.http.response_code` zugeordnet.
`column8`	`security_result.rule_name`	Wird dem Namen der Sicherheitsergebnisregel für bestimmte CSV-formatierte Protokolle zugeordnet.
`cs1`	`security_result.rule_name`	Wird direkt dem Namen der Sicherheitsergebnisregel zugeordnet.
`cs2`	`security_result.summary`	Wird direkt der Zusammenfassung der Sicherheitsergebnisse zugeordnet.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Wenn `cs5` eine JNDI-LDAP-URL enthält, wird sie als zusätzliches Feld mit dem Schlüssel `JNDI_LDAP_URL` hinzugefügt. Andernfalls, wenn er kommagetrennte IP-Adressen enthält, wird jede IP-Adresse, die sich von `principal_ip` unterscheidet, als zusätzliche Haupt-IP-Adresse hinzugefügt.
`cs6`	`principal.location.country_or_region`	Wird direkt dem Land oder der Region des Hauptstandorts zugeordnet.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Wenn vorhanden, wird es als JSON geparst, um `sessionid`, `bits` (zugewiesen zu `sent_bytes`) und `version` zu extrahieren.
`date_time`	`metadata.event_timestamp`	Wird nach dem Parsen und Konvertieren in das richtige Format direkt dem Ereigniszeitstempel zugeordnet.
`dest_ip`	`target.ip`, `target.asset.ip`	Wird direkt der Ziel-IP zugeordnet.
`dest_port`	`target.port`	Wird direkt dem Zielport zugeordnet.
`dhost`	`target.hostname`	Wird direkt dem Ziel-Hostnamen zugeordnet.
`dpt`	`target.port`	Wird direkt dem Zielport zugeordnet.
`dst`	`target.ip`	Wird direkt der Ziel-IP zugeordnet.
`dvc`	`intermediary.ip`	Wird direkt der Zwischen-IP zugeordnet.
`dvchost`	`target.hostname`, `intermediary.hostname`	Wird direkt dem Ziel-Hostnamen und dem Zwischen-Hostnamen zugeordnet.
`errdefs_msgno`	`additional.fields`	Als zusätzliches Feld mit dem Schlüssel `errdefs_msgno` hinzugefügt.
`externalId`	`additional.fields`	Als zusätzliches Feld mit dem Schlüssel `Support_Id` hinzugefügt.
`f5_host`	`target.hostname`, `intermediary.hostname`	Wird direkt dem Ziel-Hostnamen und dem Zwischen-Hostnamen zugeordnet.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	Entspricht dem Land oder der Region des Hauptstandorts. Wird auch als Erkennungsfeld mit dem Schlüssel `geo_info` hinzugefügt.
`host`	`target.hostname`	Wird direkt dem Ziel-Hostnamen zugeordnet.
`ids`	`additional.fields`	Wird als durch Kommas getrennte Liste von Support-IDs geparst. Jede ID wird einem zusätzlichen Feld mit Listenwerten und dem Schlüssel `supportid` hinzugefügt.
`ip_addr_intelli`	`security_result.detection_fields`	Als Erkennungsfeld mit dem Schlüssel `ip_addr_intelli` hinzugefügt.
`ip_client`	`principal.ip`	Wird direkt der Haupt-IP-Adresse zugeordnet.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	Der IP-Teil wird extrahiert und der Haupt-IP zugeordnet.
`irule`	`security_result.rule_name`	Wird direkt dem Namen der Sicherheitsergebnisregel zugeordnet.
`irule-version`	`security_result.rule_version`	Wird direkt der Sicherheitsergebnisregelversion zugeordnet.
`level`	`security_result.severity`, `security_result.severity_details`	Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen. `error` oder `warning` entspricht HIGH. `notice` entspricht MITTELWERT. `information` oder `info` entspricht „LOW“. Der Rohwert wird ebenfalls `severity_details` zugeordnet.
`logtime`	`metadata.event_timestamp`	Wird nach dem Parsen direkt dem Ereigniszeitstempel zugeordnet.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Wird direkt der Zwischen-IP zugeordnet.
`method`	`network.http.method`	Wird direkt der HTTP-Methode zugeordnet.
`msg`	`security_result.summary`, `metadata.description`	Wird bei einigen Protokollformaten direkt in die Sicherheitsergebniszusammenfassung übernommen. Wenn keine andere Beschreibung verfügbar ist, wird sie zur Ereignisbeschreibung.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	Wird direkt dem Ressourcennamen oder Regelnamen des Sicherheitsergebnisses zugeordnet.
`process`	`target.application`	Wird direkt der Zielanwendung zugeordnet.
`process_id`	`principal.process.pid`	Wird direkt der Hauptprozess-ID zugeordnet.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	Wird je nach Logformat direkt dem Anwendungs- oder IP-Protokoll zugeordnet.
`proxy_id`	`security_result.rule_id`	Wird direkt der Regel-ID des Sicherheitsergebnisses zugeordnet.
`query_string`	`additional.fields`	Als zusätzliches Feld mit dem Schlüssel `query_string` hinzugefügt.
`referrer`	`network.http.referral_url`	Wird direkt der HTTP-Verweiser-URL zugeordnet.
`req_method`	`network.http.method`	Wird direkt der HTTP-Methode zugeordnet.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Wenn `blocked`, wird `security_result.action` mit BLOCKIERT zugeordnet. Wenn `passed` oder `legal`, entspricht dies „ZULASSEN“. Wenn `alerted` enthalten ist, wird QUARANTÄNE zugeordnet. Der Rohwert wird ebenfalls `action_details` zugeordnet und als Erkennungsfeld mit dem Schlüssel `req_status` hinzugefügt.
`request`	`target.url`	Wird direkt der Ziel-URL zugeordnet.
`requestMethod`	`network.http.method`	Wird direkt der HTTP-Methode zugeordnet.
`resp`	`security_result.detection_fields`	Als Erkennungsfeld mit dem Schlüssel `resp` hinzugefügt.
`resp_code`	`network.http.response_code`	Wird direkt einem HTTP-Antwortcode zugeordnet.
`response`	`security_result.summary`	Wird direkt der Zusammenfassung der Sicherheitsergebnisse zugeordnet.
`response_code`	`network.http.response_code`	Wird direkt einem HTTP-Antwortcode zugeordnet.
`route_domain`	`additional.fields`	Als zusätzliches Feld mit dem Schlüssel `route_domain` hinzugefügt.
`rt`	`metadata.event_timestamp`	Wird nach dem Parsen direkt dem Ereigniszeitstempel zugeordnet.
`sev`	`security_result.severity`, `security_result.severity_details`	Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen. `ERROR` entspricht ERROR. Der Rohwert wird ebenfalls `severity_details` zugeordnet.
`severity`	`security_result.severity`, `security_result.severity_details`	Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen. `Informational` entspricht NIEDRIG, `Error` oder `warning` entsprechen HOCH, `critical` entspricht KRITISCH, `notice` entspricht MITTEL, `information` oder `info` entsprechen NIEDRIG. Der Rohwert wird ebenfalls `severity_details` zugeordnet.
`sig_ids`	`security_result.rule_id`	Wird direkt der Regel-ID des Sicherheitsergebnisses zugeordnet.
`sig_names`	`security_result.rule_name`	Wird direkt dem Namen der Sicherheitsergebnisregel zugeordnet.
`snat_ip`	`principal.nat_ip`	Wird direkt der primären NAT-IP-Adresse zugeordnet.
`snat_port`	`principal.nat_port`	Wird direkt dem Haupt-NAT-Port zugeordnet.
`src`	`principal.ip`, `principal.asset.ip`	Wird direkt der Haupt-IP-Adresse zugeordnet.
`spt`	`principal.port`	Wird direkt dem Hauptanschluss zugeordnet.
`sub_violates`	`security_result.about.resource.attribute.labels`	Als Label mit dem Schlüssel `Sub Violations` zu den Ressourcenattributen für Sicherheitsergebnisse hinzugefügt.
`sub_violations`	`security_result.about.resource.attribute.labels`	Als Label mit dem Schlüssel `Sub Violations` zu den Ressourcenattributen für Sicherheitsergebnisse hinzugefügt.
`summary`	`security_result.summary`	Wird direkt der Zusammenfassung der Sicherheitsergebnisse zugeordnet.
`support_id`	`metadata.product_log_id`	Hat das Präfix `support_id -` und ist der Produktprotokoll-ID zugeordnet.
`suid`	`network.session_id`	Wird direkt der Netzwerksitzungs-ID zugeordnet.
`suser`	`principal.user.userid`	Wird direkt der Hauptnutzer-ID zugeordnet.
`timestamp`	`metadata.event_timestamp`	Wird nach dem Parsen und Konvertieren in das richtige Format direkt dem Ereigniszeitstempel zugeordnet.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Wird direkt dem Haupt-Hostnamen zugeordnet.
`uri`	`principal.url`	Wird direkt der Haupt-URL zugeordnet.
`user_id`	`principal.user.userid`	Wird direkt der Hauptnutzer-ID zugeordnet.
`user_name`	`principal.user.user_display_name`	Wird direkt dem Anzeigenamen des Hauptnutzers zugeordnet.
`username`	`principal.user.userid`	Wird direkt der Hauptnutzer-ID zugeordnet.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Wird direkt dem HTTP-User-Agent zugeordnet. Wird ebenfalls geparst und dem geparsten User-Agent zugeordnet.
`virtualserver`	`network.tls.client.server_name`	Wird direkt dem TLS-Clientservernamen zugeordnet.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Enthält XML-Daten. `viol_name` in `request-violations` wird extrahiert und als Erkennungsfelder mit dem Schlüssel `Request Violation Name_index` hinzugefügt. `viol_name` in `response_violations` wird extrahiert und als Erkennungsfelder mit dem Schlüssel `Response Violation Name_index` hinzugefügt. `response_code` in `response_violations` wird `network.http.response_code` zugeordnet.
`violate_rate`	`security_result.detection_fields`	Als Erkennungsfeld mit dem Schlüssel `violate_rate` hinzugefügt.
`violation_rating`	`security_result.about.resource.attribute.labels`	Als Label mit dem Schlüssel `Violations Rating` zu den Ressourcenattributen für Sicherheitsergebnisse hinzugefügt.
`violations`	`security_result.description`	Wird direkt der Beschreibung des Sicherheitsergebnisses zugeordnet. Bei Protokollen im Splunk-Format wird damit die Zusammenfassung ermittelt, falls vorhanden.
`virus_name`	`security_result.threat_name`	Wird direkt dem Namen der Bedrohung im Sicherheitsergebnis zugeordnet.
`vs_name`	`network.tls.client.server_name`	Wird direkt dem TLS-Clientservernamen zugeordnet.
`websocket_direction`	`network.direction`	Bei `clientToServer` wird „INBOUND“ zugeordnet. Wenn `ServerToclient`, entspricht OUTBOUND.
`websocket_message_type`	`security_result.detection_fields`	Als Erkennungsfeld mit dem Schlüssel `WebsocketMessageType` hinzugefügt.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Wird direkt der Haupt-IP-Adresse zugeordnet.

Änderungen

2025-02-11

Optimierung:

column3 wurde principal.ip und principal.asset.ip zugeordnet

2025-02-04

Optimierung:

Es wurde gsub hinzugefügt, um Nicht-UTF-8-Zeichen aus dem Feld uri zu entfernen, wenn es Nicht-UTF-8-Zeichen zum Parsen von Protokollen enthält.

2025-01-30

Optimierung:

Das Feld cs5 wurde aus _intermediary.ip und _intermediary.asset.ip entfernt.
src wurde principal.nat_ip zugeordnet.
cs5 wurde principal.ip und principal.asset.ip zugeordnet.

2025-01-17

Optimierung:

Die Drop-Bedingung zum Parsen von Logs mit nicht UTF-8-Zeichen wurde entfernt.

2024-12-11

Optimierung:

Ein Grok-Muster wurde geändert, um ein neues Format von Syslog-Protokollen zu unterstützen.

2024-11-28

Optimierung:

Die Zuordnung von Referer wurde von network.http.referral_url zu target.url geändert.

2024-11-07

Optimierung:

exec_data wurde target.process.command_line zugeordnet.
src wurde principal.hostname und principal.asset.hostname zugeordnet.
cs3 wurde additional.fields zugeordnet.

2024-10-30

Optimierung:

Unterstützung für CSV-Protokolle hinzugefügt.

2024-10-28

Optimierung:

Vorhandenes Grok-Muster für ISP-Blockierung und ISP-GEO-Blockierung geändert.

2024-10-25

Optimierung:

form_data wurde additional.fields zugeordnet.

2024-10-23

Optimierung:

SOAPAction wurde additional.fields zugeordnet.

2024-09-30

Optimierung:

link wurde target.url zugeordnet
Wenn die Nachricht DROP enthält, legen Sie security_result.action auf BLOCK fest.
Wenn die Nachricht allowed enthält, legen Sie security_result.action auf ALLOW fest.

2024-08-07

Optimierung:

Vorhandenes Grok-Muster für die Verarbeitung von CEF-Logs geändert.
suid wurde principal.user.userid zugeordnet.
suser wurde principal.user.user_display_name zugeordnet.
device_version wurde metadata.product_version zugeordnet.
severity wurde security_result.severity zugeordnet.

15.07.2024

Optimierung:

Unterstützung für die Verarbeitung von SYSLOG- und KV-Protokollen hinzugefügt.

2024-06-17

Optimierung:

Unterstützung für ein neues Muster von CSV-Protokollen hinzugefügt.

2024-06-11

Optimierung:

KV-Block zum Umgang mit nicht geparsten KV-Protokollen hinzugefügt.
Formatierte CSV-Protokolle, die mit gsub geparst werden.

2024-05-13

Optimierung:

KV-Block zum Parsen von KV-Protokollen hinzugefügt.
gsub wurde hinzugefügt, um unerwünschte Zeichen zu entfernen.

2024-04-19

Optimierung:

Unparsierte CSV-Protokolle werden jetzt verarbeitet.
Karte resp_code wurde ein Grok-Muster hinzugefügt.
errdefs_msgno, support_id_array und audit_component wurden additional.fields zugeordnet.
descrip wurde metadata.description zugeordnet.

2024-04-08

Optimierung:

Unterstützung für das Parsen neu aufgenommener, nicht geparster Protokolle hinzugefügt

2024-04-05

Fehlerkorrektur:

Bedingung zum Parsen von verworfenen ASF-CEM-Logs hinzugefügt.

2024-02-27

Fehlerkorrektur:

Wenn das Feld cs5 eine gültige IP-Adresse enthält, wird es principal.ip zugeordnet.
principal.ip- und principal.asset.ip-Zuordnungen ausgerichtet.
principal.hostname- und principal.asset.hostname-Zuordnungen ausgerichtet.
target.ip- und target.asset.ip-Zuordnungen ausgerichtet.
target.hostname- und target.asset.hostname-Zuordnungen ausgerichtet.

2024-01-12

Optimierung:

severity wurde security_result.severity_details zugeordnet.
resp_code wurde http.response_code zugeordnet.
virus_name wurde security_result.threat_name zugeordnet.
ip_route_domain wurde principal.ip zugeordnet.
geo_info, resp, req_status, violate_rate und ip_addr_intelli wurden security_result.detection_fields zugeordnet.

2023-12-15

Optimierung:

Es wurden neu aufgenommene Protokolle verarbeitet, bei denen metadata.event_type = GENERIC_EVENT und network.application_protocol = HTTP ist.
Setzen Sie network.ip_protocol auf UDP, wenn die Nachricht UDP enthält.
Der hartcodierte Wert „network.application_protocol“ wurde entfernt.
Legen Sie network.application_protocol auf HTTP und HTTPS fest, wenn message die Werte HTTP und „HTTPS“ hat.
Setzen Sie network.application_protocol auf HTTP, wenn metadata.event_type NETWORK_HTTP ist.
Es wurden zwei Grok-Muster hinzugefügt, um principal_ip und src_port aus neu aufgenommenen Protokollen zu parsen.
message_body wurde metadata.description zugeordnet.
tmm_msg wurde metadata.description zugeordnet

2023-12-07

Optimierung:

Es wurde ein neues Grok-Muster hinzugefügt, um neue KV+XML-Protokolle zu parsen.
KV-Filter zum Parsen nicht geparster KV-Logs hinzugefügt
XML-Filter zum Parsen nicht geparster XML-Protokolle hinzugefügt
policy_name wurde security_result.about.resource.name zugeordnet.
viol_name wurde security_result.detection_fields zugeordnet.
response_code wurde network.http.response_code zugeordnet.
Modifiziertes Grok-Muster, um das vollständige Feld Referer network.http.referral_url zuzuordnen.
parseduseragent wurde auf „network.http.parsed_user_agent“ zugeordnet.

2023-11-08

Optimierung:

Es wurde ein neues Grok-Muster zum Parsen neuer KV-Protokolle hinzugefügt.
Es wurde ein KV-Filter hinzugefügt, um geparste KV-Protokolle zu analysieren.
bigip_mgmt_ip, client_ip_geo_location, client_port, client_request_uri, device_version, http_method, route_domain und virtual_server_name werden jeweils in principal.ip, principal.location.country_or_region, principal.port, principal.url, metadata.product_version, network.http.method, additional.fields und network.tls.client.server_name umgewandelt.
legal wurde der Bedingung request_status hinzugefügt, um security_result.action_details als ALLOW abzubilden.
Zugewiesene Tasten: profile_name, action, previous_action, bot_signature, bot_signature_category, bot_name, class, anomaly_categories, anomalies, micro_services_name, micro_services_type, micro_services_matched_wildcard_url, micro_services_hostname, browser_configured_verification_action, browser_actual_verification_action, new_request_status, mobile_is_app, enforced_by, application_display_name, client_type und challenge_failure_reason auf additional.fields

2023-10-19

Optimierung:

Es wurde ein Grok-Muster hinzugefügt, um den Wert des Felds Referer als referer aus CEF-Logs zu extrahieren.
referer wurde network.http.referral_url zugeordnet.

2023-09-27

Fehlerkorrektur:

Legen Sie für Protokolle mit request_status = blocked security_result.action auf BLOCK und security_result.action_details auf blocked fest.
Legen Sie für Protokolle mit request_status = passed security_result.action auf ALLOW und security_result.action_details auf passed fest.
Legen Sie für Protokolle mit request_status = alerted security_result.action auf QUARANTINE und security_result.action_details auf alerted fest.

2023-08-07

Optimierung:

management_ip_address wurde metadata.intermediary.ip zugeordnet.
request_status wurde security_result.action zugeordnet.
query_string wurde additional.fields zugeordnet.
sig_ids wurde security_result.rule_id zugeordnet.
sig_names wurde security_result.rule_name zugeordnet.
username wurde principal.user.userid zugeordnet.
policy_name wurde security_result.about.resource.name zugeordnet.
sub_violations wurde security_result.about.resource.attribute.labels zugeordnet.
violation_rating wurde security_result.about.resource.attribute.labels zugeordnet.
websocket_direction wurde network.direction zugeordnet.
websocket_message_type wurde security_result.detection_fields zugeordnet.

2023-07-27

Fehlerkorrektur:

Es wurde ein neues Feld target_app hinzugefügt, das den Wert für target.application enthält.
Das Feld process wurde nur dann target.application zugeordnet, wenn der Wert des Felds target_app null ist.
Das Feld process wurde in string konvertiert, falls es sich nicht bereits um einen String handelt.

2023-07-03

Optimierung:

externalId wurde additional.fields zugeordnet.
Die Ereigniszeit wurde metadata.event_timestamp zugeordnet.

2023-05-12

Optimierung:

Bei CEF-Format-Logs wurden die Informationen zum Angriff auf security_result.description zugeordnet.

2023-04-06

Optimierung:

Das Anmeldeereignis wurde als „USER_LOGIN“ statt als „STATUS UPDATE“ geparst.
Der Nutzername wurde aus „vorname.nachname“ geparst und „principal.user.userid“ zugeordnet.

2023-02-09

Optimierung:

Die Logs, die type=irule enthalten, wurden mit einem neuen Grok-Muster geparst und die folgenden Felder wurden zugeordnet:
type wurde metadata.product_event_type zugeordnet.
data.sessionid wurde network.session_id zugeordnet.
data.bits wurde network.sent_bytes zugeordnet.
data.version wurde network.tls.version zugeordnet.
client_ip wurde principal.ip zugeordnet.
client_port wurde principal.port zugeordnet.
snat_ip wurde principal.nat_ip zugeordnet.
snat_port wurde principal.nat_port zugeordnet.
server_ip wurde target.ip zugeordnet.
server_port wurde target.port zugeordnet.
irule wurde security_result.rule_name zugeordnet.
irule-version wurde security_result.rule_version zugeordnet.
proxy_id wurde security_result.rule_id zugeordnet.
virtualserver wurde network.tls.client.server_name zugeordnet.

2022-11-03

Optimierung:

Bedingung für nicht geparste CEF-Format-Protokolle hinzugefügt
Es wurde eine Bedingung hinzugefügt, um nach sshd- und httpd-user_login-Logs zu suchen.
Grok-Muster zum Parsen von httpd- und sshd-Protokollen für erfolgreiche/fehlerhafte Nutzeranmeldungen hinzugefügt.
event_id wurde metadata.product_log_id zugeordnet.
application wurde target.application zugeordnet.
prin_ip wurde principal.ip zugeordnet.
SSH wird app_protocol zugeordnet, wenn tty ssh oder applicaition sshd ist.
user_id principal.user.user_id wurde zugeordnet.
USER_LOGIN wurde für httpd/sshd-user_login-Logs auf metadata.event_type umgestellt.
auth_level wurde principal.user.attribute.roles zugeordnet.
addr aus dem Log wurde target.ip zugeordnet
port aus dem Log wurde target.port zugeordnet

2022-09-21

Optimierung:

Kundenspezifischer Parser in Standardparser migriert.

2022-05-17

Optimierung:

Der Parser wurde verbessert, um den Header der HTTP-Anfrage zu parsen.

2022-04-27

Fehlerkorrektur:

Der Parser wurde so erweitert, dass er Logs im ASM:-Format verarbeiten kann.

26. April 2022

Optimierung:

Der Parser wurde verbessert, um unparsierte Rohprotokolle zu verarbeiten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten