Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de ASM de BIG-IP de F5

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros del Administrador de seguridad de aplicaciones (ASM) de BIG-IP de F5 a Google Security Operations con Bindplane. El analizador controla varios formatos de registro (syslog, CSV, CEF, etc.) y los normaliza en el UDM. Usa patrones de grok y extracciones de par clave-valor para analizar campos, filtrar XML para obtener detalles de incumplimientos, lógica condicional para la categorización de eventos y asignación de gravedad, y combinar campos extraídos en el esquema de la UDM.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a ASM de BIG-IP de F5.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el registro remoto en ASM de BIG-IP de F5

Accede a la IU web de la consola de ASM.
Ve a Seguridad > Registros de eventos > Perfiles de registro.
Haz clic en Crear.
Proporciona los siguientes detalles de configuración:
- Nombre del perfil: Ingresa un nombre único para el perfil.
- Selecciona Seguridad de la aplicación.
- En la pestaña Seguridad de la aplicación, selecciona Avanzado (si se requieren parámetros de configuración adicionales).
- Storage Destination: Selecciona Remote Storage.
- Formato de registro: Selecciona Formato de evento común (CEF).
- Borra el Almacenamiento local.
- Protocolo: Selecciona UDP o TCP (según la configuración de tu agente de Bindplane).
- Direcciones del servidor: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Se selecciona de forma predeterminada 514. Actualiza la configuración del puerto según la configuración de tu agente de Bindplane.
- Haz clic en Agregar.
- Selecciona Garantizar el registro.
- Selecciona Denunciar anomalías detectadas.
- Facility: Selecciona LOG_LOCAL6 (de manera opcional, puedes seleccionar la categoría de la instalación del tráfico registrado; los valores posibles son de LOG_LOCAL0 a LOG_LOCAL7).
Nota: Si tienes más de una política de seguridad, puedes usar el mismo servidor de registro remoto para ambas aplicaciones y el filtro de la instalación para ordenar los datos de cada una.
Haz clic en Finalizado.

Asocia un perfil de registro con una política de seguridad

Haz clic en Tráfico local > Servidores virtuales.
Haz clic en el nombre del servidor virtual que usa la política de seguridad.
En el menú Seguridad, selecciona Políticas.
Asegúrate de que el parámetro de configuración Política de seguridad de la aplicación esté Habilitada y que Política esté configurada en la política de seguridad que deseas.
Asegúrate de que el parámetro de configuración Log Profile esté establecido en Enabled.
En la lista Disponibles, selecciona el perfil que se usará para la política de seguridad y muévelo a la lista Seleccionados.
Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`act`	`security_result.action`	Si `act` es `blocked`, se asigna a BLOQUEAR. Si `act` es `passed` o `legal`, se asigna a PERMITIR. Si `act` contiene `alerted`, se asigna a QUARANTINE. De lo contrario, el valor predeterminado es ALLOW para el formato de Splunk.
`app`	`network.application_protocol`	Se asigna directamente a HTTPS si está presente en el registro sin procesar.
`attack_type`	`security_result.category_details`, `metadata.description`	Se usa junto con otros campos para determinar `security_result.category`. Si no hay otra descripción disponible, se convierte en la descripción del evento. En el caso de los registros de formato Splunk, se usa para determinar la categoría y el resumen si `violations` está vacío.
`client_ip`	`principal.ip`, `principal.asset.ip`	Se asigna directamente a la IP principal.
`cn1`	`network.http.response_code`	Se asigna directamente al código de respuesta HTTP.
`cn2`	`security_result.severity_details`	Se asigna directamente a los detalles de gravedad de los resultados de seguridad. Se usa con `response_code` para determinar si un evento es una alerta.
`column1`	`principal.ip`, `principal.asset.ip`	Se asigna a la IP principal para ciertos registros con formato CSV.
`column2`	`target.port`	Se asigna al puerto de destino para ciertos registros con formato CSV.
`column3`	`target.ip`, `target.asset.ip`	Asigna la IP de destino para ciertos registros con formato CSV.
`column4`	`security_result.severity`	Se asigna a la gravedad de los resultados de seguridad para ciertos registros con formato CSV. Los valores `Information`, `Informational`, `0` y `4` se asignan a INFORMATIONAL. `Warning`, `1` y `3` se asignan a MEDIUM. `Error` y `2` se asignan a ERROR. `Critical`, `CRITICAL` y `critical` se asignan a CRITICAL.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Contiene datos XML. `viol_name` dentro de `request-violations` se extrae y se agrega como campos de detección con la clave `Request Violation Name_index`. `viol_name` dentro de `response_violations` se extrae y se agrega como campos de detección con la clave `Response Violation Name_index`. `response_code` dentro de `response_violations` se asigna a `network.http.response_code`.
`column8`	`security_result.rule_name`	Se asigna al nombre de la regla de resultados de seguridad para ciertos registros con formato CSV.
`cs1`	`security_result.rule_name`	Se asigna directamente al nombre de la regla de resultados de seguridad.
`cs2`	`security_result.summary`	Se asigna directamente al resumen de resultados de seguridad.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Si `cs5` contiene una URL de LDAP de JNDI, se agrega como un campo adicional con la clave `JNDI_LDAP_URL`. De lo contrario, si contiene IP separadas por comas, cualquier IP diferente de `principal_ip` se agrega como una IP principal adicional.
`cs6`	`principal.location.country_or_region`	Se asigna directamente al país o la región de la ubicación principal.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Si está presente, se analiza como JSON para extraer `sessionid`, `bits` (asignada a `sent_bytes`) y `version`.
`date_time`	`metadata.event_timestamp`	Se asigna directamente a la marca de tiempo del evento después de analizarse y convertirse al formato correcto.
`dest_ip`	`target.ip`, `target.asset.ip`	Se asigna directamente a la IP de destino.
`dest_port`	`target.port`	Se asigna directamente al puerto de destino.
`dhost`	`target.hostname`	Se asigna directamente al nombre de host de destino.
`dpt`	`target.port`	Se asigna directamente al puerto de destino.
`dst`	`target.ip`	Se asigna directamente a la IP de destino.
`dvc`	`intermediary.ip`	Se asigna directamente a la IP intermediaria.
`dvchost`	`target.hostname`, `intermediary.hostname`	Se asigna directamente al nombre de host de destino y al nombre de host intermedio.
`errdefs_msgno`	`additional.fields`	Se agregó como un campo adicional con la clave `errdefs_msgno`.
`externalId`	`additional.fields`	Se agregó como un campo adicional con la clave `Support_Id`.
`f5_host`	`target.hostname`, `intermediary.hostname`	Se asigna directamente al nombre de host de destino y al nombre de host intermedio.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	Se muestra el país o la región de la ubicación principal. También se agregó como un campo de detección con la clave `geo_info`.
`host`	`target.hostname`	Se asigna directamente al nombre de host de destino.
`ids`	`additional.fields`	Se analiza como una lista de IDs de asistencia separados por comas. Cada ID se agrega a un campo adicional con valor de lista con la clave `supportid`.
`ip_addr_intelli`	`security_result.detection_fields`	Se agregó como un campo de detección con la clave `ip_addr_intelli`.
`ip_client`	`principal.ip`	Se asigna directamente a la IP principal.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	La parte de IP se extrae y se asigna a la IP principal.
`irule`	`security_result.rule_name`	Se asigna directamente al nombre de la regla de resultados de seguridad.
`irule-version`	`security_result.rule_version`	Se asigna directamente a la versión de la regla de resultados de seguridad.
`level`	`security_result.severity`, `security_result.severity_details`	Se usa para determinar la gravedad de los resultados de seguridad. `error` o `warning` se asignan a HIGH. `notice` se asigna a MEDIUM. `information` o `info` se asignan a LOW. El valor sin procesar también se asigna a `severity_details`.
`logtime`	`metadata.event_timestamp`	Se asigna directamente a la marca de tiempo del evento después del análisis.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Se asigna directamente a la IP intermediaria.
`method`	`network.http.method`	Se asigna directamente al método HTTP.
`msg`	`security_result.summary`, `metadata.description`	Se asigna directamente al resumen de resultados de seguridad para algunos formatos de registro. Si no hay otra descripción disponible, se convierte en la descripción del evento.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	Se asigna directamente al nombre del recurso o de la regla del resultado de seguridad.
`process`	`target.application`	Se asigna directamente a la aplicación de destino.
`process_id`	`principal.process.pid`	Se asigna directamente al ID de proceso principal.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	Se asigna directamente al protocolo de aplicación o al protocolo IP según el formato del registro.
`proxy_id`	`security_result.rule_id`	Se asigna directamente al ID de la regla de resultados de seguridad.
`query_string`	`additional.fields`	Se agregó como un campo adicional con la clave `query_string`.
`referrer`	`network.http.referral_url`	Se asigna directamente a la URL de referencia HTTP.
`req_method`	`network.http.method`	Se asigna directamente al método HTTP.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Si es `blocked`, asigna `security_result.action` a BLOCK. Si es `passed` o `legal`, se asigna a ALLOW. Si contiene `alerted`, se asigna a QUARANTINE. El valor sin procesar también se asigna a `action_details` y se agrega como un campo de detección con la clave `req_status`.
`request`	`target.url`	Se asigna directamente a la URL de destino.
`requestMethod`	`network.http.method`	Se asigna directamente al método HTTP.
`resp`	`security_result.detection_fields`	Se agregó como un campo de detección con la clave `resp`.
`resp_code`	`network.http.response_code`	Se asigna directamente al código de respuesta HTTP.
`response`	`security_result.summary`	Se asigna directamente al resumen de resultados de seguridad.
`response_code`	`network.http.response_code`	Se asigna directamente al código de respuesta HTTP.
`route_domain`	`additional.fields`	Se agregó como un campo adicional con la clave `route_domain`.
`rt`	`metadata.event_timestamp`	Se asigna directamente a la marca de tiempo del evento después del análisis.
`sev`	`security_result.severity`, `security_result.severity_details`	Se usa para determinar la gravedad de los resultados de seguridad. `ERROR` se asigna a ERROR. El valor sin procesar también se asigna a `severity_details`.
`severity`	`security_result.severity`, `security_result.severity_details`	Se usa para determinar la gravedad de los resultados de seguridad. `Informational` se asigna a LOW, `Error` o `warning` se asigna a HIGH, `critical` se asigna a CRITICAL, `notice` se asigna a MEDIUM, `information` o `info` se asigna a LOW. El valor sin procesar también se asigna a `severity_details`.
`sig_ids`	`security_result.rule_id`	Se asigna directamente al ID de la regla de resultados de seguridad.
`sig_names`	`security_result.rule_name`	Se asigna directamente al nombre de la regla de resultados de seguridad.
`snat_ip`	`principal.nat_ip`	Se asigna directamente a la IP de NAT principal.
`snat_port`	`principal.nat_port`	Se asigna directamente al puerto NAT principal.
`src`	`principal.ip`, `principal.asset.ip`	Se asigna directamente a la IP principal.
`spt`	`principal.port`	Se asigna directamente al puerto principal.
`sub_violates`	`security_result.about.resource.attribute.labels`	Se agregó como una etiqueta con la clave `Sub Violations` a los atributos de recursos de resultados de seguridad.
`sub_violations`	`security_result.about.resource.attribute.labels`	Se agregó como una etiqueta con la clave `Sub Violations` a los atributos de recursos de resultados de seguridad.
`summary`	`security_result.summary`	Se asigna directamente al resumen de resultados de seguridad.
`support_id`	`metadata.product_log_id`	Tiene el prefijo `support_id -` y está asignado al ID de registro del producto.
`suid`	`network.session_id`	Se asigna directamente al ID de sesión de red.
`suser`	`principal.user.userid`	Se asigna directamente al ID de usuario principal.
`timestamp`	`metadata.event_timestamp`	Se asigna directamente a la marca de tiempo del evento después de analizarse y convertirse al formato correcto.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Se asigna directamente al nombre de host principal.
`uri`	`principal.url`	Se asigna directamente a la URL principal.
`user_id`	`principal.user.userid`	Se asigna directamente al ID de usuario principal.
`user_name`	`principal.user.user_display_name`	Se asigna directamente al nombre visible del usuario principal.
`username`	`principal.user.userid`	Se asigna directamente al ID de usuario principal.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Se asigna directamente al usuario-agente HTTP. También se analiza y se asigna al usuario-agente analizado.
`virtualserver`	`network.tls.client.server_name`	Se asigna directamente al nombre del servidor cliente de TLS.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Contiene datos XML. `viol_name` dentro de `request-violations` se extrae y se agrega como campos de detección con la clave `Request Violation Name_index`. `viol_name` dentro de `response_violations` se extrae y se agrega como campos de detección con la clave `Response Violation Name_index`. `response_code` dentro de `response_violations` se asigna a `network.http.response_code`.
`violate_rate`	`security_result.detection_fields`	Se agregó como un campo de detección con la clave `violate_rate`.
`violation_rating`	`security_result.about.resource.attribute.labels`	Se agregó como una etiqueta con la clave `Violations Rating` a los atributos de recursos de resultados de seguridad.
`violations`	`security_result.description`	Se asigna directamente a la descripción del resultado de seguridad. En el caso de los registros en formato Splunk, se usa para determinar el resumen si está presente.
`virus_name`	`security_result.threat_name`	Se asigna directamente al nombre de la amenaza del resultado de seguridad.
`vs_name`	`network.tls.client.server_name`	Se asigna directamente al nombre del servidor cliente de TLS.
`websocket_direction`	`network.direction`	Si es `clientToServer`, se asigna a INBOUND. Si es `ServerToclient`, se asigna a OUTBOUND.
`websocket_message_type`	`security_result.detection_fields`	Se agregó como un campo de detección con la clave `WebsocketMessageType`.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Se asigna directamente a la IP principal.

Cambios

2025-02-11

Mejora:

Se asignó column3 a principal.ip y principal.asset.ip

2025-02-04

Mejora:

Se agregó un gsub para quitar los caracteres que no son UTF-8 del campo uri cuando contiene caracteres que no son UTF-8 para analizar los registros.

2025-01-30

Mejora:

Se quitó el campo cs5 de _intermediary.ip y _intermediary.asset.ip.
Se asignó src a principal.nat_ip.
Se asignó cs5 a principal.ip y principal.asset.ip.

2025-01-17

Mejora:

Se quitó la condición de eliminación para analizar registros con caracteres que no son UTF-8.

2024-12-11

Mejora:

Se modificó un patrón de Grok para admitir un nuevo formato de registros de syslog.

2024-11-28

Mejora:

Se cambió la asignación de Referer de network.http.referral_url a target.url.

2024-11-07

Mejora:

Se asignó exec_data a target.process.command_line.
Se asignó src a principal.hostname y principal.asset.hostname.
Se asignó cs3 a additional.fields.

2024-10-30

Mejora:

Se agregó compatibilidad para controlar registros CSV.

2024-10-28

Mejora:

Se modificó el patrón Grok existente para controlar el bloqueo del ISP y el bloqueo GEO del ISP.

2024-10-25

Mejora:

Se asignó form_data a additional.fields.

2024-10-23

Mejora:

Se asignó SOAPAction a additional.fields.

2024-09-30

Mejora:

Se asignó link a target.url
Cuando el mensaje contenga DROP, establece security_result.action en BLOCK.
Cuando el mensaje contenga allowed, establece security_result.action en ALLOW.

2024-08-07

Mejora:

Se modificó el patrón de Grok existente para controlar los registros de CEF.
Se asignó suid a principal.user.userid.
Se asignó suser a principal.user.user_display_name.
Se asignó device_version a metadata.product_version.
Se asignó severity a security_result.severity.

2024-07-15

Mejora:

Se agregó compatibilidad para controlar los registros SYSLOG y KV.

2024-06-17

Mejora:

Se agregó compatibilidad con un nuevo patrón de registros CSV.

2024-06-11

Mejora:

Se agregó un bloque KV para controlar los registros de KV sin analizar.
Registros CSV con formato gsub para analizar registros CSV.

2024-05-13

Mejora:

Se agregó un bloque de KV para analizar los registros de KV.
Se agregó gsub para quitar caracteres no deseados.

2024-04-19

Mejora:

Se controlaron los registros sin analizar de CSV.
Se agregó un patrón Grok para asignar resp_code.
Se asignaron errdefs_msgno, support_id_array y audit_component a additional.fields.
Se asignó descrip a metadata.description.

2024-04-08

Mejora:

Se agregó compatibilidad para analizar registros sin analizar que se transfirieron recientemente.

2024-04-05

Corrección de errores:

Se agregó una condición para analizar los registros de CEM de ASF que se descartaron.

2024-02-27

Corrección de errores:

Cuando el campo cs5 tiene una dirección IP válida, se asigna a principal.ip.
Se alinearon las asignaciones de principal.ip y principal.asset.ip.
Se alinearon las asignaciones de principal.hostname y principal.asset.hostname.
Se alinearon las asignaciones de target.ip y target.asset.ip.
Se alinearon las asignaciones de target.hostname y target.asset.hostname.

2024-01-12

Mejora:

Se asignó severity a security_result.severity_details.
Se asignó resp_code a http.response_code.
Se asignó virus_name a security_result.threat_name.
Se asignó ip_route_domain a principal.ip.
Se asignaron geo_info, resp, req_status, violate_rate y ip_addr_intelli a security_result.detection_fields.

2023-12-15

Mejora:

Se controló el conjunto de registros recién transferidos en el que metadata.event_type es GENERIC_EVENT y network.application_protocol es HTTP.
Establece network.ip_protocol en UDP si el mensaje contiene UDP.
Se quitó el valor de codificación network.application_protocol.
Establece network.application_protocol en HTTP y HTTPS si message tiene HTTP y "HTTPS", respectivamente.
Establece network.application_protocol en HTTP si metadata.event_type es NETWORK_HTTP.
Se agregaron dos patrones de Grok para analizar principal_ip y src_port de los registros recién transferidos.
Se asignó message_body a metadata.description.
Se asignó tmm_msg a metadata.description

2023-12-07

Mejora:

Se agregó un nuevo patrón de Grok para analizar los nuevos registros KV+XML.
Se agregaron filtros de KV para analizar registros de KV no analizados.
Se agregaron filtros XML para analizar registros XML sin analizar.
Se asignó policy_name a security_result.about.resource.name.
Se asignó viol_name a security_result.detection_fields.
Se asignó response_code a network.http.response_code.
Se modificó el patrón Grok para asignar el campo Referer completo a network.http.referral_url.
Se asignó parseduseragent a "network.http.parsed_user_agent".

2023-11-08

Mejora:

Se agregó un nuevo patrón de Grok para analizar registros KV nuevos.
Se agregó un filtro de KV para analizar los registros de KV analizados.
Se asignaron bigip_mgmt_ip, client_ip_geo_location, client_port, client_request_uri, device_version, http_method, route_domain y virtual_server_name a principal.ip, principal.location.country_or_region, principal.port, principal.url, metadata.product_version, network.http.method, additional.fields y network.tls.client.server_name, respectivamente.
Se agregó legal a la condición request_status para asignar security_result.action_details como ALLOW.
Se asignaron profile_name, action, previous_action, bot_signature, bot_signature_category, bot_name, class, anomaly_categories, anomalies, micro_services_name, micro_services_type, micro_services_matched_wildcard_url, micro_services_hostname, browser_configured_verification_action, browser_actual_verification_action, new_request_status, mobile_is_app, enforced_by, application_display_name, client_type y challenge_failure_reason a additional.fields.

2023-10-19

Mejora:

Se agregó un patrón Grok para extraer el valor del campo Referer como referer de los registros de CEF.
Se asignó referer a network.http.referral_url.

2023-09-27

Corrección de errores:

Establece security_result.action en BLOCK y security_result.action_details en blocked para los registros que tengan request_status = blocked.
Establece security_result.action en ALLOW y security_result.action_details en passed para los registros que tengan request_status = passed.
Establece security_result.action en QUARANTINE y security_result.action_details en alerted para los registros que tengan request_status = alerted.

2023-08-07

Mejora:

Se asignó management_ip_address a metadata.intermediary.ip.
Se asignó request_status a security_result.action.
Se asignó query_string a additional.fields.
Se asignó sig_ids a security_result.rule_id.
Se asignó sig_names a security_result.rule_name.
Se asignó username a principal.user.userid.
Se asignó policy_name a security_result.about.resource.name.
Se asignó sub_violations a security_result.about.resource.attribute.labels.
Se asignó violation_rating a security_result.about.resource.attribute.labels.
Se asignó websocket_direction a network.direction.
Se asignó websocket_message_type a security_result.detection_fields.

2023-07-27

Corrección de errores:

Se agregó un campo nuevo target_app para contener el valor correspondiente a target.application.
Se asignó el campo process a target.application solo cuando el valor del campo target_app es nulo.
Se convirtió el campo process a string si ya no es una cadena.

2023-07-03

Mejora:

Se asignó externalId a "additional.fields".
Se asignó la hora del evento a "metadata.event_timestamp".

2023-05-12

Mejora:

En el caso de los registros en formato CEF, se asignó la información sobre el ataque a security_result.description.

2023-04-06

Mejora:

El evento de acceso se analizó como "USER_LOGIN" en lugar de "STATUS UPDATE".
Se analizó el valor del nombre de usuario en "firstname.lastname" y se asignó a "principal.user.userid".

2023-02-09

Mejora:

Se analizaron los registros que contienen type=irule agregando un nuevo patrón de Grok y se asignaron los siguientes campos:
Se asignó type a metadata.product_event_type.
Se asignó data.sessionid a network.session_id.
Se asignó data.bits a network.sent_bytes.
Se asignó data.version a network.tls.version.
Se asignó client_ip a principal.ip.
Se asignó client_port a principal.port.
Se asignó snat_ip a principal.nat_ip.
Se asignó snat_port a principal.nat_port.
Se asignó server_ip a target.ip.
Se asignó server_port a target.port.
Se asignó irule a security_result.rule_name.
Se asignó irule-version a security_result.rule_version.
Se asignó proxy_id a security_result.rule_id.
Se asignó virtualserver a network.tls.client.server_name.

2022-11-03

Mejora:

Se agregó una condición para los registros de formato CEF no analizados.
Se agregó una condición para verificar los registros de user_login de sshd y httpd.
Se agregaron patrones de grok para analizar los registros de éxito o error de user_login de httpd y sshd.
Se asignó event_id a metadata.product_log_id.
Se asignó application a target.application.
Se asignó prin_ip a principal.ip.
Se asignó SSH a app_protocol cuando tty es ssh o applicaition es sshd.
Se asignó user_id principal.user.user_id.
Se asignó USER_LOGIN a metadata.event_type para los registros de user_login de httpd/sshd.
Se asignó auth_level a principal.user.attribute.roles.
Se asignó addr del registro a target.ip
Se asignó port del registro a target.port

2022-09-21

Mejora:

Se migró el cliente específico al analizador predeterminado.

2022-05-17

Mejora:

Se mejoró el analizador para analizar el encabezado de la solicitud HTTP.

2022-04-27

Corrección de errores:

Se mejoró el analizador para analizar registros con el formato ASM:.

2022-04-26

Mejora:

Se mejoró el analizador para controlar registros sin analizar

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.