Esta página foi traduzida pela API Cloud Translation.

Coletar registros do F5 BIG-IP ASM

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros do F5 BIG-IP Application Security Manager (ASM) para o Google Security Operations usando o Bindplane. O analisador processa vários formatos de registro (syslog, CSV, CEF etc.) e os normaliza no UDM. Ele usa padrões grok e extrações de chave-valor para analisar campos, filtrar XML em busca de detalhes de violação, lógica condicional para categorização de eventos e mapeamento de gravidade e mesclar campos extraídos no esquema do UDM.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao F5 BIG-IP ASM.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar a geração de registros remotos no F5 BIG-IP ASM

Faça login na interface da Web do console do ASM.
Acesse Segurança > Registros de eventos > Perfis de registro.
Clique em Criar.
Informe os seguintes detalhes de configuração:
- Nome do perfil: insira um nome exclusivo para o perfil.
- Selecione Segurança do aplicativo.
- Na guia "Segurança do aplicativo", selecione Avançado (se outras configurações forem necessárias).
- Destino do armazenamento: selecione Armazenamento remoto.
- Formato de registro: selecione "Formato de evento comum" (CEF, na sigla em inglês).
- Limpe o Armazenamento local.
- Protocolo: selecione UDP ou TCP (dependendo da configuração do agente do Bindplane).
- Endereços do servidor: insira o endereço IP do agente do Bindplane.
- Porta: 514 selecionada por padrão. Atualize a configuração da porta de acordo com a configuração do agente do Bindplane.
- Clique em Adicionar.
- Selecione Garantir geração de registros.
- Selecione Denunciar anomalias detectadas.
- Instalação: selecione LOG_LOCAL6. Você também pode selecionar a categoria da instalação do tráfego registrado. Os valores possíveis são LOG_LOCAL0 a LOG_LOCAL7.
Observação: se você tiver mais de uma política de segurança, poderá usar o mesmo servidor de registro remoto para os dois aplicativos e o filtro de instalação para classificar os dados de cada um deles.
Clique em Concluído.

Associar um perfil de geração de registros a uma política de segurança

Clique em Tráfego local > Servidores virtuais.
Clique no nome do servidor virtual usado pela política de segurança.
No menu Segurança, selecione Políticas.
Verifique se a configuração Política de segurança do aplicativo está ativada e se a política está definida como a política de segurança desejada.
Verifique se a configuração Perfil de registro está definida como Ativada.
Na lista Disponível, selecione o perfil a ser usado para a política de segurança e mova-o para a lista Selecionado.
Clique em Atualizar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`act`	`security_result.action`	Se `act` for `blocked`, será mapeado para BLOQUEAR. Se `act` for `passed` ou `legal`, será mapeado para PERMITIR. Se `act` contiver `alerted`, será mapeado para QUARANTINE. Caso contrário, o padrão será PERMITIR para o formato Splunk.
`app`	`network.application_protocol`	É mapeado diretamente para HTTPS, se presente no registro bruto.
`attack_type`	`security_result.category_details`, `metadata.description`	Usado com outros campos para determinar `security_result.category`. Se nenhuma outra descrição estiver disponível, ela vai se tornar a descrição do evento. Para logs no formato Splunk, ele é usado para determinar a categoria e o resumo se `violations` estiver vazio.
`client_ip`	`principal.ip`, `principal.asset.ip`	Mapeia diretamente para o IP principal.
`cn1`	`network.http.response_code`	É mapeado diretamente para o código de resposta HTTP.
`cn2`	`security_result.severity_details`	Mapeia diretamente os detalhes de gravidade do resultado de segurança. Usado com `response_code` para determinar se um evento é um alerta.
`column1`	`principal.ip`, `principal.asset.ip`	Mapeia para o IP principal para determinados registros formatados em CSV.
`column2`	`target.port`	É mapeado para a porta de destino de determinados registros formatados em CSV.
`column3`	`target.ip`, `target.asset.ip`	É mapeado para o IP de destino de determinados registros formatados em CSV.
`column4`	`security_result.severity`	Mapeia a gravidade do resultado de segurança para determinados registros formatados em CSV. Os valores `Information`, `Informational`, `0` e `4` são associados a "INFORMATIONAL". `Warning`, `1` e `3` são mapeados para MÉDIO. `Error`, `2` são mapeados para ERRO. `Critical`, `CRITICAL` e `critical` são mapeados para CRÍTICA.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Contém dados XML. `viol_name` em `request-violations` é extraído e adicionado como campos de detecção com a chave `Request Violation Name_index`. `viol_name` em `response_violations` é extraído e adicionado como campos de detecção com a chave `Response Violation Name_index`. `response_code` em `response_violations` é mapeado para `network.http.response_code`.
`column8`	`security_result.rule_name`	É mapeado para o nome da regra de resultado de segurança de determinados registros formatados em CSV.
`cs1`	`security_result.rule_name`	Mapeia diretamente para o nome da regra de resultado de segurança.
`cs2`	`security_result.summary`	Mapeia diretamente para o resumo do resultado de segurança.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Se `cs5` contiver um URL JNDI LDAP, ele será adicionado como um campo extra com a chave `JNDI_LDAP_URL`. Caso contrário, se ele contiver IPs separados por vírgulas, qualquer IP diferente de `principal_ip` será adicionado como um IP principal adicional.
`cs6`	`principal.location.country_or_region`	É mapeado diretamente para o país ou a região do local principal.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Se presente, analisado como JSON para extrair `sessionid`, `bits` (mapeado para `sent_bytes`) e `version`.
`date_time`	`metadata.event_timestamp`	Mapeia diretamente para o carimbo de data/hora do evento após analisar e converter para o formato correto.
`dest_ip`	`target.ip`, `target.asset.ip`	Mapeia diretamente para o IP de destino.
`dest_port`	`target.port`	Mapeia diretamente para a porta de destino.
`dhost`	`target.hostname`	Mapeia diretamente para o nome de host de destino.
`dpt`	`target.port`	Mapeia diretamente para a porta de destino.
`dst`	`target.ip`	Mapeia diretamente para o IP de destino.
`dvc`	`intermediary.ip`	Mapeia diretamente para o IP intermediário.
`dvchost`	`target.hostname`, `intermediary.hostname`	Mapeia diretamente para o nome de host de destino e o intermediário.
`errdefs_msgno`	`additional.fields`	Adicionado como um campo extra com a chave `errdefs_msgno`.
`externalId`	`additional.fields`	Adicionado como um campo extra com a chave `Support_Id`.
`f5_host`	`target.hostname`, `intermediary.hostname`	Mapeia diretamente para o nome de host de destino e o intermediário.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	É associado ao país ou à região do local principal. Também foi adicionado como um campo de detecção com a chave `geo_info`.
`host`	`target.hostname`	Mapeia diretamente para o nome de host de destino.
`ids`	`additional.fields`	Analisado como uma lista de IDs de suporte separada por vírgulas. Cada ID é adicionado a um campo extra com valor de lista e chave `supportid`.
`ip_addr_intelli`	`security_result.detection_fields`	Adicionado como um campo de detecção com a chave `ip_addr_intelli`.
`ip_client`	`principal.ip`	Mapeia diretamente para o IP principal.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	A parte do IP é extraída e mapeada para o IP principal.
`irule`	`security_result.rule_name`	Mapeia diretamente para o nome da regra de resultado de segurança.
`irule-version`	`security_result.rule_version`	Mapeia diretamente para a versão da regra de resultado de segurança.
`level`	`security_result.severity`, `security_result.severity_details`	Usado para determinar a gravidade do resultado de segurança. `error` ou `warning` são mapeados para ALTO. `notice` é mapeado para MÉDIO. `information` ou `info` são mapeados para BAIXO. O valor bruto também é mapeado para `severity_details`.
`logtime`	`metadata.event_timestamp`	É mapeado diretamente para o carimbo de data/hora do evento após a análise.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Mapeia diretamente para o IP intermediário.
`method`	`network.http.method`	Mapeia diretamente para o método HTTP.
`msg`	`security_result.summary`, `metadata.description`	Mapeia diretamente para o resumo do resultado de segurança de alguns formatos de registro. Se nenhuma outra descrição estiver disponível, ela vai se tornar a descrição do evento.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	É mapeado diretamente para o nome do recurso ou da regra do resultado de segurança.
`process`	`target.application`	Mapeia diretamente para o aplicativo de destino.
`process_id`	`principal.process.pid`	Mapeia diretamente para o ID do processo principal.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	É mapeado diretamente para o protocolo do aplicativo ou o protocolo IP, dependendo do formato do registro.
`proxy_id`	`security_result.rule_id`	É mapeado diretamente para o ID da regra de resultado de segurança.
`query_string`	`additional.fields`	Adicionado como um campo extra com a chave `query_string`.
`referrer`	`network.http.referral_url`	É mapeado diretamente para o URL de referência HTTP.
`req_method`	`network.http.method`	Mapeia diretamente para o método HTTP.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Se `blocked`, mapeia `security_result.action` para BLOQUEAR. Se for `passed` ou `legal`, será mapeado como PERMITIR. Se contiver `alerted`, será mapeado para QUARANTINE. O valor bruto também é mapeado para `action_details` e adicionado como um campo de detecção com a chave `req_status`.
`request`	`target.url`	Mapeia diretamente para o URL de destino.
`requestMethod`	`network.http.method`	Mapeia diretamente para o método HTTP.
`resp`	`security_result.detection_fields`	Adicionado como um campo de detecção com a chave `resp`.
`resp_code`	`network.http.response_code`	É mapeado diretamente para o código de resposta HTTP.
`response`	`security_result.summary`	Mapeia diretamente para o resumo do resultado de segurança.
`response_code`	`network.http.response_code`	É mapeado diretamente para o código de resposta HTTP.
`route_domain`	`additional.fields`	Adicionado como um campo extra com a chave `route_domain`.
`rt`	`metadata.event_timestamp`	É mapeado diretamente para o carimbo de data/hora do evento após a análise.
`sev`	`security_result.severity`, `security_result.severity_details`	Usado para determinar a gravidade do resultado de segurança. `ERROR` é mapeado para ERROR. O valor bruto também é mapeado para `severity_details`.
`severity`	`security_result.severity`, `security_result.severity_details`	Usado para determinar a gravidade do resultado de segurança. `Informational` é mapeado para BAIXO, `Error` ou `warning` é mapeado para ALTO, `critical` é mapeado para CRÍTICO, `notice` é mapeado para MÉDIO, `information` ou `info` é mapeado para BAIXO. O valor bruto também é mapeado para `severity_details`.
`sig_ids`	`security_result.rule_id`	É mapeado diretamente para o ID da regra de resultado de segurança.
`sig_names`	`security_result.rule_name`	Mapeia diretamente para o nome da regra de resultado de segurança.
`snat_ip`	`principal.nat_ip`	Mapeia diretamente para o IP NAT principal.
`snat_port`	`principal.nat_port`	É mapeado diretamente para a porta NAT principal.
`src`	`principal.ip`, `principal.asset.ip`	Mapeia diretamente para o IP principal.
`spt`	`principal.port`	Mapeia diretamente para a porta principal.
`sub_violates`	`security_result.about.resource.attribute.labels`	Adicionado como um rótulo com a chave `Sub Violations` aos atributos de recursos de resultados de segurança.
`sub_violations`	`security_result.about.resource.attribute.labels`	Adicionado como um rótulo com a chave `Sub Violations` aos atributos de recursos de resultados de segurança.
`summary`	`security_result.summary`	Mapeia diretamente para o resumo do resultado de segurança.
`support_id`	`metadata.product_log_id`	Tem o prefixo `support_id -` e é mapeado para o ID do registro do produto.
`suid`	`network.session_id`	Mapeia diretamente para o ID da sessão de rede.
`suser`	`principal.user.userid`	Mapeia diretamente para o ID do usuário principal.
`timestamp`	`metadata.event_timestamp`	Mapeia diretamente para o carimbo de data/hora do evento após analisar e converter para o formato correto.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Mapeia diretamente para o nome de host principal.
`uri`	`principal.url`	Mapeia diretamente para o URL principal.
`user_id`	`principal.user.userid`	Mapeia diretamente para o ID do usuário principal.
`user_name`	`principal.user.user_display_name`	Mapeia diretamente para o nome de exibição do usuário principal.
`username`	`principal.user.userid`	Mapeia diretamente para o ID do usuário principal.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Mapeia diretamente para o agente do usuário HTTP. Também analisado e mapeado para o user agent analisado.
`virtualserver`	`network.tls.client.server_name`	Mapeia diretamente para o nome do servidor do cliente TLS.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Contém dados XML. `viol_name` em `request-violations` é extraído e adicionado como campos de detecção com a chave `Request Violation Name_index`. `viol_name` em `response_violations` é extraído e adicionado como campos de detecção com a chave `Response Violation Name_index`. `response_code` em `response_violations` é mapeado para `network.http.response_code`.
`violate_rate`	`security_result.detection_fields`	Adicionado como um campo de detecção com a chave `violate_rate`.
`violation_rating`	`security_result.about.resource.attribute.labels`	Adicionado como um rótulo com a chave `Violations Rating` aos atributos de recursos de resultados de segurança.
`violations`	`security_result.description`	Mapeia diretamente para a descrição do resultado de segurança. Para registros no formato Splunk, é usado para determinar o resumo, se houver.
`virus_name`	`security_result.threat_name`	Mapeia diretamente para o nome da ameaça do resultado de segurança.
`vs_name`	`network.tls.client.server_name`	Mapeia diretamente para o nome do servidor do cliente TLS.
`websocket_direction`	`network.direction`	Se `clientToServer`, é mapeado para INBOUND. Se `ServerToclient`, é mapeado para SAÍDA.
`websocket_message_type`	`security_result.detection_fields`	Adicionado como um campo de detecção com a chave `WebsocketMessageType`.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Mapeia diretamente para o IP principal.

Alterações

2025-02-11

Melhoria:

Mapeou column3 para principal.ip e principal.asset.ip

2025-02-04

Melhoria:

Foi adicionado um gsub para remover caracteres não UTF-8 do campo uri quando ele contém caracteres não UTF-8 para analisar registros.

2025-01-30

Melhoria:

O campo cs5 foi removido de _intermediary.ip e _intermediary.asset.ip.
src foi mapeado para principal.nat_ip.
Mapeamento de cs5 para principal.ip e principal.asset.ip.

2025-01-17

Melhoria:

A condição de exclusão foi removida para analisar registros com caracteres não UTF-8.

2024-12-11

Melhoria:

Modificação de um padrão Grok para oferecer suporte a um novo formato de registros syslog.

2024-11-28

Melhoria:

O mapeamento de Referer foi alterado de network.http.referral_url para target.url.

2024-11-07

Melhoria:

exec_data foi mapeado para target.process.command_line.
Mapeamento de src para principal.hostname e principal.asset.hostname.
cs3 foi mapeado para additional.fields.

2024-10-30

Melhoria:

Adicionamos suporte para processar registros CSV.

2024-10-28

Melhoria:

O padrão do Grok foi modificado para processar o bloqueio de ISP e o bloqueio geográfico de ISP.

2024-10-25

Melhoria:

form_data foi mapeado para additional.fields.

2024-10-23

Melhoria:

SOAPAction foi mapeado para additional.fields.

2024-09-30

Melhoria:

Mapeou link para target.url
Quando a mensagem contiver DROP, defina security_result.action como BLOCK.
Quando a mensagem contiver allowed, defina security_result.action como ALLOW.

2024-08-07

Melhoria:

O padrão Grok foi modificado para processar registros do CEF.
suid foi mapeado para principal.user.userid.
suser foi mapeado para principal.user.user_display_name.
device_version foi mapeado para metadata.product_version.
severity foi mapeado para security_result.severity.

2024-07-15

Melhoria:

Adição de suporte para processar os registros SYSLOG + KV.

2024-06-17

Melhoria:

Adição de suporte a um novo padrão de registros CSV.

2024-06-11

Melhoria:

Adição de bloco KV para processar registros KV não analisados.
Registros CSV formatados usando gsub para analisar registros CSV.

2024-05-13

Melhoria:

Adição de bloco KV para analisar registros KV.
Foi adicionado gsub para remover caracteres indesejados.

2024-04-19

Melhoria:

Registros não analisados CSV foram processados.
Adicionamos um padrão Grok para mapear resp_code.
Mapeamos errdefs_msgno, support_id_array e audit_component para additional.fields.
descrip foi mapeado para metadata.description.

2024-04-08

Melhoria:

Foi adicionado suporte para analisar registros não analisados que foram ingeridos.

2024-04-05

Correção de bugs:

Foi adicionada uma condição para analisar os registros de CEM do ASF excluídos.

2024-02-27

Correção de bugs:

Quando o campo cs5 tem um endereço IP válido, ele é mapeado para principal.ip.
Mapeamentos principal.ip e principal.asset.ip alinhados.
Mapeamentos principal.hostname e principal.asset.hostname alinhados.
Mapeamentos target.ip e target.asset.ip alinhados.
Mapeamentos target.hostname e target.asset.hostname alinhados.

2024-01-12

Melhoria:

severity foi mapeado para security_result.severity_details.
resp_code foi mapeado para http.response_code.
virus_name foi mapeado para security_result.threat_name.
ip_route_domain foi mapeado para principal.ip.
Mapeamos geo_info, resp, req_status, violate_rate e ip_addr_intelli para security_result.detection_fields.

2023-12-15

Melhoria:

Processamento de um conjunto de registros recém-ingeridos em que metadata.event_type é GENERIC_EVENT e network.application_protocol é HTTP.
Defina network.ip_protocol como UDP se a mensagem contiver UDP.
O valor de programação fixa de network.application_protocol foi removido.
Defina network.application_protocol como HTTP e HTTPS se message tiver HTTP e "HTTPS", respectivamente.
Defina network.application_protocol como HTTP se metadata.event_type for NETWORK_HTTP.
Foram adicionados dois padrões Grok para analisar principal_ip e src_port de registros recém-ingeridos.
message_body foi mapeado para metadata.description.
Mapeou tmm_msg para metadata.description

2023-12-07

Melhoria:

Um novo padrão Grok foi adicionado para analisar novos registros KV+XML.
Foram adicionados filtros KV para analisar registros KV não analisados.
Foram adicionados filtros XML para analisar registros XML não analisados.
policy_name foi mapeado para security_result.about.resource.name.
viol_name foi mapeado para security_result.detection_fields.
response_code foi mapeado para network.http.response_code.
O padrão do Grok foi modificado para mapear o campo Referer completo para network.http.referral_url.
parseduseragent foi mapeado para "network.http.parsed_user_agent".

2023-11-08

Melhoria:

Um novo padrão Grok foi adicionado para analisar novos registros KV.
Foi adicionado um filtro KV para analisar registros KV atualizados.
Mapeou bigip_mgmt_ip, client_ip_geo_location, client_port, client_request_uri, device_version, http_method, route_domain e virtual_server_name para principal.ip, principal.location.country_or_region, principal.port, principal.url, metadata.product_version, network.http.method, additional.fields, network.tls.client.server_name, respectivamente.
legal foi adicionado à condição request_status para mapear security_result.action_details como ALLOW.
Mapeou profile_name, action, previous_action, bot_signature, bot_signature_category, bot_name, class, anomaly_categories, anomalies, micro_services_name, micro_services_type, micro_services_matched_wildcard_url, micro_services_hostname, browser_configured_verification_action, browser_actual_verification_action, new_request_status, mobile_is_app, enforced_by, application_display_name, client_type e challenge_failure_reason para additional.fields.

2023-10-19

Melhoria:

Um padrão Grok foi adicionado para extrair o valor do campo Referer como referer dos registros do CEF.
referer foi mapeado para network.http.referral_url.

2023-09-27

Correção de bugs:

Defina security_result.action como BLOCK e security_result.action_details como blocked para registros com request_status = blocked.
Defina security_result.action como ALLOW e security_result.action_details como passed para registros com request_status = passed.
Defina security_result.action como QUARANTINE e security_result.action_details como alerted para registros com request_status = alerted.

2023-08-07

Melhoria:

management_ip_address foi mapeado para metadata.intermediary.ip.
request_status foi mapeado para security_result.action.
query_string foi mapeado para additional.fields.
sig_ids foi mapeado para security_result.rule_id.
sig_names foi mapeado para security_result.rule_name.
username foi mapeado para principal.user.userid.
policy_name foi mapeado para security_result.about.resource.name.
sub_violations foi mapeado para security_result.about.resource.attribute.labels.
violation_rating foi mapeado para security_result.about.resource.attribute.labels.
websocket_direction foi mapeado para network.direction.
websocket_message_type foi mapeado para security_result.detection_fields.

2023-07-27

Correção de bugs:

Um novo campo target_app foi adicionado para conter o valor correspondente a target.application.
Mapeou o campo process para target.application somente quando o valor do campo target_app é nulo.
O campo process foi convertido em string se ele não for uma string.

2023-07-03

Melhoria:

externalId foi mapeado para additional.fields.
Mapeou o horário do evento para "metadata.event_timestamp".

2023-05-12

Melhoria:

Para registros no formato CEF, mapeou as informações sobre o ataque para security_result.description.

2023-04-06

Melhoria:

O evento de login foi analisado como "USER_LOGIN" em vez de "STATUS UPDATE".
Analisou o valor do nome de usuário em "nome.sobrenome" e mapeou para "principal.user.userid".

2023-02-09

Melhoria:

Analisou os registros que contêm type=irule adicionando um novo padrão Grok e mapeou os seguintes campos:
type foi mapeado para metadata.product_event_type.
data.sessionid foi mapeado para network.session_id.
data.bits foi mapeado para network.sent_bytes.
data.version foi mapeado para network.tls.version.
client_ip foi mapeado para principal.ip.
client_port foi mapeado para principal.port.
snat_ip foi mapeado para principal.nat_ip.
snat_port foi mapeado para principal.nat_port.
server_ip foi mapeado para target.ip.
server_port foi mapeado para target.port.
irule foi mapeado para security_result.rule_name.
irule-version foi mapeado para security_result.rule_version.
proxy_id foi mapeado para security_result.rule_id.
virtualserver foi mapeado para network.tls.client.server_name.

2022-11-03

Melhoria:

Foi adicionada uma condição para registros de formato CEF não analisados.
Adicionamos uma condição para verificar os logs user_login do sshd e do httpd.
Foram adicionados padrões grok para analisar os registros de sucesso/falha de user_login do httpd e do sshd.
event_id foi mapeado para metadata.product_log_id.
application foi mapeado para target.application.
prin_ip foi mapeado para principal.ip.
Mapeou SSH para app_protocol quando tty é ssh ou applicaition é sshd.
user_id principal.user.user_id mapeados.
Mapeamos USER_LOGIN para metadata.event_type nos logs user_login do httpd/sshd.
auth_level foi mapeado para principal.user.attribute.roles.
addr mapeado do registro para target.ip
port mapeado do registro para target.port

2022-09-21

Melhoria:

Migração de clientes específicos para o analisador padrão.

2022-05-17

Melhoria:

Melhoramos o analisador para analisar o cabeçalho da solicitação HTTP.

2022-04-27

Correção de bugs:

O analisador foi aprimorado para analisar registros com o formato ASM:.

2022-04-26

Melhoria:

Melhoria no analisador para processar registros brutos não analisados

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.