Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log F5 BIG-IP ASM

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di F5 BIG-IP Application Security Manager (ASM) in Google Security Operations utilizzando Bindplane. Il parser gestisce vari formati di log (syslog, CSV, CEF e così via) e li normalizza in UDM. Utilizza pattern grok ed estrazioni chiave-valore per analizzare i campi, il filtro XML per i dettagli delle violazioni, la logica condizionale per la classificazione degli eventi e il mapping della gravità e unisce i campi estratti nello schema UDM.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a F5 BIG-IP ASM.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura la registrazione remota su F5 BIG-IP ASM

Accedi all'UI web della console ASM.
Vai a Sicurezza > Log eventi > Profili di logging.
Fai clic su Crea.
Fornisci i seguenti dettagli di configurazione:
- Nome profilo: inserisci un nome univoco per il profilo.
- Seleziona Sicurezza dell'applicazione.
- Nella scheda Application Security, seleziona Avanzate (se sono necessarie configurazioni aggiuntive).
- Destinazione di archiviazione: seleziona Archiviazione remota.
- Formato logging: seleziona Common Event Format (CEF).
- Cancella Archiviazione locale.
- Protocollo: seleziona UDP o TCP (a seconda della configurazione dell'agente Bindplane).
- Indirizzi server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: selezionata per impostazione predefinita 514. Aggiorna l'impostazione della porta in base alla configurazione dell'agente Bindplane.
- Fai clic su Aggiungi.
- Seleziona Registrazione della garanzia.
- Seleziona Segnala anomalie rilevate.
- Struttura: seleziona LOG_LOCAL6 (facoltativamente puoi selezionare la categoria della struttura del traffico registrato; i valori possibili sono da LOG_LOCAL0 a LOG_LOCAL7).
Nota: se hai più di un criterio di sicurezza, puoi utilizzare lo stesso server di logging remoto per entrambe le applicazioni e utilizzare il filtro della funzionalità per ordinare i dati di ciascuna.
Fai clic su Fine.

Associare un profilo di logging a un criterio di sicurezza

Fai clic su Traffico locale > Server virtuali.
Fai clic sul nome del server virtuale utilizzato dalla norma di sicurezza.
Nel menu Sicurezza, seleziona Norme.
Assicurati che l'impostazione Policy di sicurezza dell'applicazione sia Attivata e che Policy sia impostata sulla policy di sicurezza che preferisci.
Assicurati che l'impostazione Profilo log sia impostata su Attivato.
Dall'elenco Disponibili, seleziona il profilo da utilizzare per le norme di sicurezza e spostalo nell'elenco Selezionati.
Fai clic su Aggiorna.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.action`	Se `act` è `blocked`, viene mappato su BLOCK. Se `act` è `passed` o `legal`, viene mappato su ALLOW. Se `act` contiene `alerted`, viene mappato a QUARANTENA. In caso contrario, il valore predefinito è ALLOW per il formato Splunk.
`app`	`network.application_protocol`	Mappa direttamente a HTTPS se presente nel log non elaborato.
`attack_type`	`security_result.category_details`, `metadata.description`	Utilizzato in combinazione con altri campi per determinare `security_result.category`. Se non è disponibile un'altra descrizione, questa diventa la descrizione dell'evento. Per i log in formato Splunk, viene utilizzato per determinare la categoria e il riepilogo se `violations` è vuoto.
`client_ip`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.
`cn1`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`cn2`	`security_result.severity_details`	Corrisponde direttamente ai dettagli di gravità del risultato di sicurezza. Utilizzato con `response_code` per determinare se un evento è un avviso.
`column1`	`principal.ip`, `principal.asset.ip`	Mappa l'IP principale per determinati log formattati in formato CSV.
`column2`	`target.port`	Mappa la porta di destinazione per determinati log in formato CSV.
`column3`	`target.ip`, `target.asset.ip`	Mappa l'IP di destinazione per determinati log in formato CSV.
`column4`	`security_result.severity`	Mappa la gravità del risultato di sicurezza per determinati log formattati in formato CSV. I valori `Information`, `Informational`, `0`, `4` corrispondono a INFORMATIONAL. `Warning`, `1`, `3` corrispondono a MEDIUM. `Error`, `2` map to ERROR. `Critical`, `CRITICAL`, `critical` corrisponde a CRITICO.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Contiene dati XML. `viol_name` all'interno di `request-violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Request Violation Name_index`. `viol_name` all'interno di `response_violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Response Violation Name_index`. `response_code` in `response_violations` corrisponde a `network.http.response_code`.
`column8`	`security_result.rule_name`	Corrisponde al nome della regola dei risultati di sicurezza per determinati log in formato CSV.
`cs1`	`security_result.rule_name`	Corrisponde direttamente al nome della regola del risultato di sicurezza.
`cs2`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Se `cs5` contiene un URL LDAP JNDI, viene aggiunto come campo aggiuntivo con la chiave `JNDI_LDAP_URL`. In caso contrario, se contiene IP separati da virgole, qualsiasi IP diverso da `principal_ip` viene aggiunto come IP principale aggiuntivo.
`cs6`	`principal.location.country_or_region`	Corrisponde direttamente al paese o alla regione della sede principale.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Se presente, viene analizzato come JSON per estrarre `sessionid`, `bits` (mappato a `sent_bytes`) e `version`.
`date_time`	`metadata.event_timestamp`	Mappa direttamente il timestamp dell'evento dopo l'analisi e la conversione nel formato corretto.
`dest_ip`	`target.ip`, `target.asset.ip`	Mappa direttamente l'IP di destinazione.
`dest_port`	`target.port`	Mappa direttamente la porta di destinazione.
`dhost`	`target.hostname`	Mappa direttamente il nome host di destinazione.
`dpt`	`target.port`	Mappa direttamente la porta di destinazione.
`dst`	`target.ip`	Mappa direttamente l'IP di destinazione.
`dvc`	`intermediary.ip`	Mappa direttamente l'IP dell'intermediario.
`dvchost`	`target.hostname`, `intermediary.hostname`	Mappa direttamente il nome host di destinazione e il nome host intermedio.
`errdefs_msgno`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `errdefs_msgno`.
`externalId`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `Support_Id`.
`f5_host`	`target.hostname`, `intermediary.hostname`	Mappa direttamente il nome host di destinazione e il nome host intermedio.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	Mappe del paese o della regione della sede principale. Aggiunto anche come campo di rilevamento con la chiave `geo_info`.
`host`	`target.hostname`	Mappa direttamente il nome host di destinazione.
`ids`	`additional.fields`	Analizzato come elenco separato da virgole di ID assistenza. Ogni ID viene aggiunto a un campo aggiuntivo con valori di elenco con la chiave `supportid`.
`ip_addr_intelli`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `ip_addr_intelli`.
`ip_client`	`principal.ip`	Mappa direttamente l'IP principale.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	La parte IP viene estratta e mappata all'IP principale.
`irule`	`security_result.rule_name`	Corrisponde direttamente al nome della regola del risultato di sicurezza.
`irule-version`	`security_result.rule_version`	Mappa direttamente la versione della regola dei risultati di sicurezza.
`level`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `error` o `warning` mappano su ALTO. `notice` corrisponde a MEDIO. `information` o `info` su BASSO. Il valore non elaborato viene mappato anche a `severity_details`.
`logtime`	`metadata.event_timestamp`	Corrisponde direttamente al timestamp dell'evento dopo l'analisi.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Mappa direttamente l'IP dell'intermediario.
`method`	`network.http.method`	Corrisponde direttamente al metodo HTTP.
`msg`	`security_result.summary`, `metadata.description`	Mappa direttamente il riepilogo dei risultati di sicurezza per alcuni formati di log. Se non è disponibile un'altra descrizione, questa diventa la descrizione dell'evento.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	Mappa direttamente il nome della risorsa del risultato di sicurezza o il nome della regola.
`process`	`target.application`	Mappa direttamente l'applicazione di destinazione.
`process_id`	`principal.process.pid`	Mappato direttamente all'ID processo principale.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	Mappa direttamente il protocollo di applicazione o il protocollo IP a seconda del formato del log.
`proxy_id`	`security_result.rule_id`	Mappa direttamente l'ID regola del risultato di sicurezza.
`query_string`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `query_string`.
`referrer`	`network.http.referral_url`	Mappato direttamente all'URL referrer HTTP.
`req_method`	`network.http.method`	Corrisponde direttamente al metodo HTTP.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Se `blocked`, la mappa `security_result.action` a BLOCK. Se `passed` o `legal`, mappa su CONSENTI. Se contiene `alerted`, viene mappato a QUARANTENA. Il valore non elaborato viene anche mappato a `action_details` e aggiunto come campo di rilevamento con la chiave `req_status`.
`request`	`target.url`	Mappatura diretta all'URL di destinazione.
`requestMethod`	`network.http.method`	Corrisponde direttamente al metodo HTTP.
`resp`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `resp`.
`resp_code`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`response`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`response_code`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`route_domain`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `route_domain`.
`rt`	`metadata.event_timestamp`	Corrisponde direttamente al timestamp dell'evento dopo l'analisi.
`sev`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `ERROR` corrisponde a ERROR. Il valore non elaborato viene mappato anche a `severity_details`.
`severity`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `Informational` corrisponde a BASSA, `Error` o `warning` corrisponde ad ALTA, `critical` corrisponde a CRITICA, `notice` corrisponde a MEDIA, `information` o `info` corrisponde a BASSA. Il valore non elaborato viene mappato anche a `severity_details`.
`sig_ids`	`security_result.rule_id`	Mappa direttamente l'ID regola del risultato di sicurezza.
`sig_names`	`security_result.rule_name`	Corrisponde direttamente al nome della regola del risultato di sicurezza.
`snat_ip`	`principal.nat_ip`	Mappa direttamente l'IP NAT principale.
`snat_port`	`principal.nat_port`	Mappa direttamente alla porta NAT principale.
`src`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.
`spt`	`principal.port`	Mappa direttamente la porta principale.
`sub_violates`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Sub Violations` agli attributi delle risorse dei risultati di sicurezza.
`sub_violations`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Sub Violations` agli attributi delle risorse dei risultati di sicurezza.
`summary`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`support_id`	`metadata.product_log_id`	Con prefisso `support_id -` e mappato all'ID log prodotto.
`suid`	`network.session_id`	Mappato direttamente all'ID sessione di rete.
`suser`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`timestamp`	`metadata.event_timestamp`	Mappa direttamente il timestamp dell'evento dopo l'analisi e la conversione nel formato corretto.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Mappa direttamente il nome host dell'entità.
`uri`	`principal.url`	Mappato direttamente all'URL principale.
`user_id`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`user_name`	`principal.user.user_display_name`	Mappa direttamente il nome visualizzato dell'utente principale.
`username`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Mappatura diretta allo user agent HTTP. Inoltre, viene analizzato e mappato allo user agent analizzato.
`virtualserver`	`network.tls.client.server_name`	Mappato direttamente al nome del server client TLS.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Contiene dati XML. `viol_name` all'interno di `request-violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Request Violation Name_index`. `viol_name` all'interno di `response_violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Response Violation Name_index`. `response_code` in `response_violations` corrisponde a `network.http.response_code`.
`violate_rate`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `violate_rate`.
`violation_rating`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Violations Rating` agli attributi delle risorse dei risultati di sicurezza.
`violations`	`security_result.description`	Corrisponde direttamente alla descrizione del risultato di sicurezza. Per i log in formato Splunk, viene utilizzato per determinare il riepilogo, se presente.
`virus_name`	`security_result.threat_name`	Mappato direttamente al nome della minaccia del risultato di sicurezza.
`vs_name`	`network.tls.client.server_name`	Mappato direttamente al nome del server client TLS.
`websocket_direction`	`network.direction`	Se `clientToServer`, viene mappato a IN ENTRATA. Se `ServerToclient`, viene mappato a OUTBOUND.
`websocket_message_type`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `WebsocketMessageType`.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.