Recoger registros de F5 BIG-IP ASM

Disponible en:

En este documento se explica cómo ingerir registros de F5 BIG-IP Application Security Manager (ASM) en Google Security Operations mediante Bindplane. El analizador gestiona varios formatos de registro (syslog, CSV, CEF, etc.) y los normaliza en UDM. Usa patrones grok y extracciones de clave-valor para analizar campos, filtros XML para obtener detalles de las infracciones, lógica condicional para categorizar eventos y asignar la gravedad, y combina los campos extraídos en el esquema de UDM.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso con privilegios a F5 BIG-IP ASM.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar el registro remoto en F5 BIG-IP ASM

  1. Inicia sesión en la interfaz de usuario web de la consola de ASM.
  2. Ve a Seguridad > Registros de eventos > Perfiles de registro.
  3. Haz clic en Crear.

  4. Proporciona los siguientes detalles de configuración:

    • Nombre del perfil: introduce un nombre único para el perfil.
    • Selecciona Seguridad de la aplicación.
    • En la pestaña Seguridad de la aplicación, selecciona Avanzado (si se necesitan configuraciones adicionales).
    • Destino del almacenamiento: selecciona Almacenamiento remoto.
    • Formato de registro: seleccione Formato de evento común (CEF).
    • Borra el almacenamiento local.
    • Protocol (Protocolo): selecciona UDP o TCP (en función de la configuración de tu agente de Bindplane).
    • Direcciones del servidor: introduce la dirección IP del agente de Bindplane.
    • Puerto: seleccionado de forma predeterminada 514. Actualiza el ajuste del puerto según la configuración de tu agente Bindplane.
    • Haz clic en Añadir.
    • Selecciona Garantizar registro.
    • Selecciona Informar de anomalías detectadas.
    • Instalación: selecciona LOG_LOCAL6 (también puedes seleccionar la categoría de instalación del tráfico registrado; los valores posibles son de LOG_LOCAL0 a LOG_LOCAL7).

  5. Haz clic en Finalizar.

Asociar un perfil de registro a una política de seguridad

  1. Haga clic en Tráfico local > Servidores virtuales.
  2. Haz clic en el nombre del servidor virtual que utiliza la política de seguridad.
  3. En el menú Seguridad, selecciona Políticas.
  4. Comprueba que el ajuste Política de seguridad de aplicaciones esté habilitado y que Política esté configurado con la política de seguridad que quieras.
  5. Comprueba que el ajuste Perfil de registro esté habilitado.
  6. En la lista Available (Disponible), selecciona el perfil que quieras usar en la política de seguridad y muévelo a la lista Selected (Seleccionado).
  7. Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
act security_result.action Si act es blocked, se asigna a BLOCK. Si act es passed o legal, se asigna a ALLOW. Si act contiene alerted, se asigna a CUARENTENA. De lo contrario, se utiliza ALLOW de forma predeterminada para el formato Splunk.
app network.application_protocol Se asigna directamente a HTTPS si está presente en el registro sin procesar.
attack_type security_result.category_details, metadata.description Se usa junto con otros campos para determinar security_result.category. Si no hay otra descripción disponible, se convierte en la descripción del evento. En el caso de los registros en formato Splunk, se usa para determinar la categoría y el resumen si violations está vacío.
client_ip principal.ip, principal.asset.ip Se asigna directamente a la IP principal.
cn1 network.http.response_code Se asigna directamente al código de respuesta HTTP.
cn2 security_result.severity_details Se asigna directamente a los detalles de gravedad del resultado de seguridad. Se usa con response_code para determinar si un evento es una alerta.
column1 principal.ip, principal.asset.ip Se asigna a la IP principal de determinados registros con formato CSV.
column2 target.port Asigna el puerto de destino a determinados registros con formato CSV.
column3 target.ip, target.asset.ip Asigna la IP de destino a determinados registros con formato CSV.
column4 security_result.severity Se asigna a la gravedad de los resultados de seguridad de determinados registros con formato CSV. Los valores Information, Informational, 0 y 4 se asignan a INFORMATIONAL. Warning, 1 y 3 se asignan a MEDIUM. Error y 2 se asignan a ERROR. Critical, CRITICAL, critical se asigna a CRITICAL.
column7 security_result.detection_fields, network.http.response_code Contiene datos XML. Se extrae viol_name de request-violations y se añade como campos de detección con la clave Request Violation Name_index. Se extrae viol_name de response_violations y se añade como campos de detección con la clave Response Violation Name_index. response_code en response_violations se asigna a network.http.response_code.
column8 security_result.rule_name Se asigna al nombre de la regla de resultados de seguridad de determinados registros con formato CSV.
cs1 security_result.rule_name Se asigna directamente al nombre de la regla de resultados de seguridad.
cs2 security_result.summary Se asigna directamente al resumen de resultados de seguridad.
cs5 principal.ip, principal.asset.ip, additional.fields Si cs5 contiene una URL LDAP de JNDI, se añade como un campo adicional con la clave JNDI_LDAP_URL. De lo contrario, si contiene IPs separadas por comas, cualquier IP diferente de principal_ip se añade como IP principal adicional.
cs6 principal.location.country_or_region Se corresponde directamente con el país o la región de la ubicación principal.
data network.session_id, network.sent_bytes, network.tls.version Si está presente, se analiza como JSON para extraer sessionid, bits (asignado a sent_bytes) y version.
date_time metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después de analizarla y convertirla al formato correcto.
dest_ip target.ip, target.asset.ip Se asigna directamente a la IP de destino.
dest_port target.port Se asigna directamente al puerto de destino.
dhost target.hostname Se asigna directamente al nombre de host de destino.
dpt target.port Se asigna directamente al puerto de destino.
dst target.ip Se asigna directamente a la IP de destino.
dvc intermediary.ip Se asigna directamente a la IP intermediaria.
dvchost target.hostname, intermediary.hostname Se asigna directamente al nombre de host de destino y al nombre de host intermediario.
errdefs_msgno additional.fields Se ha añadido como campo adicional con la clave errdefs_msgno.
externalId additional.fields Se ha añadido como campo adicional con la clave Support_Id.
f5_host target.hostname, intermediary.hostname Se asigna directamente al nombre de host de destino y al nombre de host intermediario.
geo_info principal.location.country_or_region, security_result.detection_fields Asigna el país o la región de la ubicación principal. También se ha añadido como campo de detección con la clave geo_info.
host target.hostname Se asigna directamente al nombre de host de destino.
ids additional.fields Se analiza como una lista de IDs de asistencia separados por comas. Cada ID se añade a un campo adicional con valor de lista y la clave supportid.
ip_addr_intelli security_result.detection_fields Se ha añadido como campo de detección con la clave ip_addr_intelli.
ip_client principal.ip Se asigna directamente a la IP principal.
ip_route_domain principal.ip, principal.asset.ip Se extrae la parte de la IP y se asigna a la IP principal.
irule security_result.rule_name Se asigna directamente al nombre de la regla de resultados de seguridad.
irule-version security_result.rule_version Se asigna directamente a la versión de la regla de resultados de seguridad.
level security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. error o warning en el mapa. notice se asigna a MEDIUM. information o info el mapa a BAJO. El valor sin procesar también se asigna a severity_details.
logtime metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después del análisis.
management_ip_address, management_ip_address_2 intermediary.ip Se asigna directamente a la IP intermediaria.
method network.http.method Se asigna directamente al método HTTP.
msg security_result.summary, metadata.description Se asigna directamente al resumen de resultados de seguridad de algunos formatos de registro. Si no hay otra descripción disponible, se convierte en la descripción del evento.
policy_name security_result.about.resource.name, security_result.rule_name Se asigna directamente al nombre del recurso o de la regla del resultado de seguridad.
process target.application Se asigna directamente a la aplicación de destino.
process_id principal.process.pid Se asigna directamente al ID del proceso principal.
protocol network.application_protocol, network.ip_protocol, app_protocol Se asigna directamente al protocolo de aplicación o al protocolo IP en función del formato del registro.
proxy_id security_result.rule_id Se asigna directamente al ID de regla del resultado de seguridad.
query_string additional.fields Se ha añadido como campo adicional con la clave query_string.
referrer network.http.referral_url Se asigna directamente a la URL referente de HTTP.
req_method network.http.method Se asigna directamente al método HTTP.
req_status security_result.action, security_result.action_details, security_result.detection_fields Si blocked, asigna security_result.action a BLOQUEAR. Si passed o legal, se asigna a ALLOW. Si contiene alerted, se asigna a CUARENTENA. El valor sin procesar también se asigna a action_details y se añade como campo de detección con la clave req_status.
request target.url Se asigna directamente a la URL de destino.
requestMethod network.http.method Se asigna directamente al método HTTP.
resp security_result.detection_fields Se ha añadido como campo de detección con la clave resp.
resp_code network.http.response_code Se asigna directamente al código de respuesta HTTP.
response security_result.summary Se asigna directamente al resumen de resultados de seguridad.
response_code network.http.response_code Se asigna directamente al código de respuesta HTTP.
route_domain additional.fields Se ha añadido como campo adicional con la clave route_domain.
rt metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después del análisis.
sev security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. ERROR se asigna a ERROR. El valor sin procesar también se asigna a severity_details.
severity security_result.severity, security_result.severity_details Se usa para determinar la gravedad del resultado de seguridad. Informational se asigna a BAJA, Error o warning se asigna a ALTA, critical se asigna a CRÍTICA, notice se asigna a MEDIA, information o info se asigna a BAJA. El valor sin procesar también se asigna a severity_details.
sig_ids security_result.rule_id Se asigna directamente al ID de regla del resultado de seguridad.
sig_names security_result.rule_name Se asigna directamente al nombre de la regla de resultados de seguridad.
snat_ip principal.nat_ip Se asigna directamente a la IP de NAT principal.
snat_port principal.nat_port Se asigna directamente al puerto NAT principal.
src principal.ip, principal.asset.ip Se asigna directamente a la IP principal.
spt principal.port Se asigna directamente al puerto principal.
sub_violates security_result.about.resource.attribute.labels Se ha añadido como etiqueta con la clave Sub Violations a los atributos del recurso de resultados de seguridad.
sub_violations security_result.about.resource.attribute.labels Se ha añadido como etiqueta con la clave Sub Violations a los atributos del recurso de resultados de seguridad.
summary security_result.summary Se asigna directamente al resumen de resultados de seguridad.
support_id metadata.product_log_id Tiene el prefijo support_id - y se asigna al ID de registro de producto.
suid network.session_id Se asigna directamente al ID de sesión de la red.
suser principal.user.userid Se asigna directamente al ID de usuario principal.
timestamp metadata.event_timestamp Se asigna directamente a la marca de tiempo del evento después de analizarla y convertirla al formato correcto.
unit_host principal.hostname, principal.asset.hostname Se asigna directamente al nombre de host principal.
uri principal.url Se asigna directamente a la URL principal.
user_id principal.user.userid Se asigna directamente al ID de usuario principal.
user_name principal.user.user_display_name Se asigna directamente al nombre visible del usuario principal.
username principal.user.userid Se asigna directamente al ID de usuario principal.
useragent network.http.user_agent, network.http.parsed_user_agent Se asigna directamente al user-agent HTTP. También se analiza y se asigna al user-agent analizado.
virtualserver network.tls.client.server_name Se asigna directamente al nombre del servidor del cliente TLS.
violate_details security_result.detection_fields, network.http.response_code Contiene datos XML. Se extrae viol_name de request-violations y se añade como campos de detección con la clave Request Violation Name_index. Se extrae viol_name de response_violations y se añade como campos de detección con la clave Response Violation Name_index. response_code en response_violations se asigna a network.http.response_code.
violate_rate security_result.detection_fields Se ha añadido como campo de detección con la clave violate_rate.
violation_rating security_result.about.resource.attribute.labels Se ha añadido como etiqueta con la clave Violations Rating a los atributos del recurso de resultados de seguridad.
violations security_result.description Se asigna directamente a la descripción del resultado de seguridad. En el caso de los registros en formato Splunk, se usa para determinar el resumen, si está presente.
virus_name security_result.threat_name Se asigna directamente al nombre de la amenaza del resultado de seguridad.
vs_name network.tls.client.server_name Se asigna directamente al nombre del servidor del cliente TLS.
websocket_direction network.direction Si clientToServer, se asigna a ENTRANTE. Si ServerToclient, se asigna a OUTBOUND.
websocket_message_type security_result.detection_fields Se ha añadido como campo de detección con la clave WebsocketMessageType.
x_fwd_hdr_val principal.ip, principal.asset.ip Se asigna directamente a la IP principal.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.