Recopila registros de ASM de BIG-IP de F5

Compatible con:

En este documento, se explica cómo transferir registros de F5 BIG-IP Application Security Manager (ASM) a Google Security Operations con Bindplane. El analizador controla varios formatos de registro (syslog, CSV, CEF, etc.) y los normaliza en el UDM. Utiliza patrones de Grok y extracciones de clave-valor para analizar campos, filtrado de XML para detalles de incumplimientos, lógica condicional para la categorización de eventos y la asignación de gravedad, y combina los campos extraídos en el esquema del UDM.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a F5 BIG-IP ASM.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura el registro remoto en el ASM de F5 BIG-IP

  1. Accede a la IU web de la consola de ASM.
  2. Ve a Security > Event Logs > Logging Profiles.
  3. Haz clic en Crear.

  4. Proporciona los siguientes detalles de configuración:

    • Nombre del perfil: Ingresa un nombre único para el perfil.
    • Selecciona Seguridad de la aplicación.
    • En la pestaña Seguridad para aplicaciones, selecciona Avanzado (si se requieren configuraciones adicionales).
    • Destino de almacenamiento: Selecciona Almacenamiento remoto.
    • Formato de registro: Selecciona Formato de evento común (CEF).
    • Borra el Almacenamiento local.
    • Protocolo: Selecciona UDP o TCP (según la configuración de tu agente de Bindplane).
    • Direcciones del servidor: Ingresa la dirección IP del agente de BindPlane.
    • Puerto: 514 seleccionado de forma predeterminada Actualiza el parámetro de configuración del puerto según la configuración del agente de Bindplane.
    • Haz clic en Agregar.
    • Selecciona Garantizar el registro.
    • Selecciona Denunciar anomalías detectadas.
    • Facility: Selecciona LOG_LOCAL6 (opcionalmente, puedes seleccionar la categoría de la instalación del tráfico registrado; los valores posibles son de LOG_LOCAL0 a LOG_LOCAL7).

  5. Haz clic en Finalizado.

Asocia un perfil de registro a una política de seguridad

  1. Haz clic en Tráfico local > Servidores virtuales.
  2. Haz clic en el nombre del servidor virtual que usa la política de seguridad.
  3. En el menú Seguridad, selecciona Políticas.
  4. Asegúrate de que el parámetro de configuración de la Política de seguridad de la aplicación esté Habilitado y que Política esté configurado en la política de seguridad que desees.
  5. Asegúrate de que el parámetro de configuración Perfil de registro esté establecido en Habilitado.
  6. En la lista Available, selecciona el perfil que se usará para la política de seguridad y muévelo a la lista Selected.
  7. Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
act security_result.action Si act es blocked, se asigna a BLOCK. Si act es passed o legal, se asigna a ALLOW. Si act contiene alerted, se asigna a CUARENTENA. De lo contrario, se establece en ALLOW de forma predeterminada para el formato de Splunk.
app network.application_protocol Se asigna directamente a HTTPS si está presente en el registro sin procesar.
attack_type security_result.category_details, metadata.description Se usa junto con otros campos para determinar security_result.category. Si no hay otra descripción disponible, se convierte en la descripción del evento. En el caso de los registros de formato Splunk, se usa para determinar la categoría y el resumen si violations está vacío.
client_ip principal.ip, principal.asset.ip Se asigna directamente a la IP principal.
cn1 network.http.response_code Se asigna directamente al código de respuesta HTTP.
cn2 security_result.severity_details Se asigna directamente a los detalles de gravedad del resultado de seguridad. Se usa con response_code para determinar si un evento es una alerta.
column1 principal.ip, principal.asset.ip Se asigna a la IP principal para ciertos registros con formato CSV.
column2 target.port Se asigna al puerto de destino para ciertos registros con formato CSV.
column3 target.ip, target.asset.ip Se asigna a la IP de destino para ciertos registros con formato CSV.
column4 security_result.severity Se asigna a la gravedad del resultado de seguridad para ciertos registros con formato CSV. Los valores Information, Informational, 0 y 4 se asignan a INFORMATIONAL. Warning, 1 y 3 se asignan a MEDIUM. Error y 2 se asignan a ERROR. Critical, CRITICAL y critical se asignan a CRÍTICO.
column7 security_result.detection_fields, network.http.response_code Contiene datos XML. Se extrae viol_name dentro de request-violations y se agrega como campos de detección con la clave Request Violation Name_index. Se extrae viol_name dentro de response_violations y se agrega como campos de detección con la clave Response Violation Name_index. response_code dentro de response_violations se asigna a network.http.response_code.
column8 security_result.rule_name Se asigna al nombre de la regla de resultado de seguridad para ciertos registros con formato CSV.
cs1 security_result.rule_name Se asigna directamente al nombre de la regla del resultado de seguridad.
cs2 security_result.summary Se asigna directamente al resumen del resultado de seguridad.
cs5 principal.ip, principal.asset.ip, additional.fields Si cs5 contiene una URL de LDAP de JNDI, se agrega como un campo adicional con la clave JNDI_LDAP_URL. De lo contrario, si contiene IPs separadas por comas, cualquier IP diferente de principal_ip se agrega como una IP principal adicional.
cs6 principal.location.country_or_region Se asigna directamente al país o la región de la ubicación principal.
data network.session_id, network.sent_bytes, network.tls.version Si está presente, se analiza como JSON para extraer sessionid, bits (asignado a sent_bytes) y version.
date_time metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después de analizarla y convertirla al formato correcto.
dest_ip target.ip, target.asset.ip Se asigna directamente a la IP de destino.
dest_port target.port Se asigna directamente al puerto de destino.
dhost target.hostname Se asigna directamente al nombre de host de destino.
dpt target.port Se asigna directamente al puerto de destino.
dst target.ip Se asigna directamente a la IP de destino.
dvc intermediary.ip Se asigna directamente a la IP intermedia.
dvchost target.hostname, intermediary.hostname Se asigna directamente al nombre de host de destino y al nombre de host intermedio.
errdefs_msgno additional.fields Se agregó como un campo adicional con la clave errdefs_msgno.
externalId additional.fields Se agregó como un campo adicional con la clave Support_Id.
f5_host target.hostname, intermediary.hostname Se asigna directamente al nombre de host de destino y al nombre de host intermedio.
geo_info principal.location.country_or_region, security_result.detection_fields Asigna el mapa al país o la región de la ubicación principal. También se agregó como un campo de detección con la clave geo_info.
host target.hostname Se asigna directamente al nombre de host de destino.
ids additional.fields Se analiza como una lista de IDs de asistencia separados por comas. Cada ID se agrega a un campo adicional con varios valores y la clave supportid.
ip_addr_intelli security_result.detection_fields Se agregó como un campo de detección con la clave ip_addr_intelli.
ip_client principal.ip Se asigna directamente a la IP principal.
ip_route_domain principal.ip, principal.asset.ip Se extrae la parte de la IP y se asigna a la IP principal.
irule security_result.rule_name Se asigna directamente al nombre de la regla del resultado de seguridad.
irule-version security_result.rule_version Se asigna directamente a la versión de la regla del resultado de seguridad.
level security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. error o warning se asignan a HIGH. notice se asigna a MEDIUM. El mapa de information o info se asigna a LOW. El valor sin procesar también se asigna a severity_details.
logtime metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después del análisis.
management_ip_address, management_ip_address_2 intermediary.ip Se asigna directamente a la IP intermedia.
method network.http.method Se asigna directamente al método HTTP.
msg security_result.summary, metadata.description Se asigna directamente al resumen de resultados de seguridad para algunos formatos de registro. Si no hay otra descripción disponible, se convierte en la descripción del evento.
policy_name security_result.about.resource.name, security_result.rule_name Se asigna directamente al nombre del recurso o de la regla del resultado de seguridad.
process target.application Se asigna directamente a la aplicación de destino.
process_id principal.process.pid Se asigna directamente al ID del proceso principal.
protocol network.application_protocol, network.ip_protocol, app_protocol Se asigna directamente al protocolo de aplicación o al protocolo IP, según el formato de registro.
proxy_id security_result.rule_id Se asigna directamente al ID de la regla del resultado de seguridad.
query_string additional.fields Se agregó como un campo adicional con la clave query_string.
referrer network.http.referral_url Se asigna directamente a la URL de referencia HTTP.
req_method network.http.method Se asigna directamente al método HTTP.
req_status security_result.action, security_result.action_details, security_result.detection_fields Si es blocked, asigna security_result.action a BLOCK. Si es passed o legal, se asigna a ALLOW. Si contiene alerted, se asigna a CUARENTENA. El valor sin procesar también se asigna a action_details y se agrega como un campo de detección con la clave req_status.
request target.url Se asigna directamente a la URL de destino.
requestMethod network.http.method Se asigna directamente al método HTTP.
resp security_result.detection_fields Se agregó como un campo de detección con la clave resp.
resp_code network.http.response_code Se asigna directamente al código de respuesta HTTP.
response security_result.summary Se asigna directamente al resumen del resultado de seguridad.
response_code network.http.response_code Se asigna directamente al código de respuesta HTTP.
route_domain additional.fields Se agregó como un campo adicional con la clave route_domain.
rt metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después del análisis.
sev security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. ERROR se asigna a ERROR. El valor sin procesar también se asigna a severity_details.
severity security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. Informational se asigna a LOW, Error o warning se asigna a HIGH, critical se asigna a CRITICAL, notice se asigna a MEDIUM, information o info se asigna a LOW. El valor sin procesar también se asigna a severity_details.
sig_ids security_result.rule_id Se asigna directamente al ID de la regla del resultado de seguridad.
sig_names security_result.rule_name Se asigna directamente al nombre de la regla del resultado de seguridad.
snat_ip principal.nat_ip Se asigna directamente a la IP principal de NAT.
snat_port principal.nat_port Se asigna directamente al puerto NAT principal.
src principal.ip, principal.asset.ip Se asigna directamente a la IP principal.
spt principal.port Se asigna directamente al puerto principal.
sub_violates security_result.about.resource.attribute.labels Se agregó como una etiqueta con la clave Sub Violations a los atributos del recurso de resultado de seguridad.
sub_violations security_result.about.resource.attribute.labels Se agregó como una etiqueta con la clave Sub Violations a los atributos del recurso de resultado de seguridad.
summary security_result.summary Se asigna directamente al resumen del resultado de seguridad.
support_id metadata.product_log_id Tiene el prefijo support_id - y se asigna al ID del registro del producto.
suid network.session_id Se asigna directamente al ID de sesión de la red.
suser principal.user.userid Se asigna directamente al ID de usuario principal.
timestamp metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después de analizarla y convertirla al formato correcto.
unit_host principal.hostname, principal.asset.hostname Se asigna directamente al nombre de host principal.
uri principal.url Se asigna directamente a la URL principal.
user_id principal.user.userid Se asigna directamente al ID de usuario principal.
user_name principal.user.user_display_name Se asigna directamente al nombre visible del usuario principal.
username principal.user.userid Se asigna directamente al ID de usuario principal.
useragent network.http.user_agent, network.http.parsed_user_agent Se asigna directamente al usuario-agente HTTP. También se analiza y se asigna al usuario-agente analizado.
virtualserver network.tls.client.server_name Se asigna directamente al nombre del servidor del cliente de TLS.
violate_details security_result.detection_fields, network.http.response_code Contiene datos XML. Se extrae viol_name dentro de request-violations y se agrega como campos de detección con la clave Request Violation Name_index. Se extrae viol_name dentro de response_violations y se agrega como campos de detección con la clave Response Violation Name_index. response_code dentro de response_violations se asigna a network.http.response_code.
violate_rate security_result.detection_fields Se agregó como un campo de detección con la clave violate_rate.
violation_rating security_result.about.resource.attribute.labels Se agregó como una etiqueta con la clave Violations Rating a los atributos del recurso de resultado de seguridad.
violations security_result.description Se asigna directamente a la descripción del resultado de seguridad. En el caso de los registros en formato Splunk, se usa para determinar el resumen si está presente.
virus_name security_result.threat_name Se asigna directamente al nombre de la amenaza del resultado de seguridad.
vs_name network.tls.client.server_name Se asigna directamente al nombre del servidor del cliente de TLS.
websocket_direction network.direction Si es clientToServer, se asigna a INBOUND. Si es ServerToclient, se asigna a OUTBOUND.
websocket_message_type security_result.detection_fields Se agregó como un campo de detección con la clave WebsocketMessageType.
x_fwd_hdr_val principal.ip, principal.asset.ip Se asigna directamente a la IP principal.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.