Recopila registros del balanceador de cargas de Kemp
En este documento, se describe cómo puedes recopilar registros del balanceador de cargas de Kemp con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia KEMP_LOADBALANCER.
Configura el balanceador de cargas Kemp
- Accede a la consola del balanceador de cargas de Kemp.
- Selecciona Opciones de registro > Opciones de Syslog.
En la sección Syslog options, en cualquiera de los campos disponibles, especifica la dirección IP del reenviador de Google Security Operations.
Se recomienda especificar la dirección IP en el campo Info host.
Haz clic en Cambiar parámetros de Syslog.
Configura el reenviador de Google Security Operations para transferir registros del balanceador de cargas de Kemp
- Selecciona Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
- Selecciona Kemp Load Balancer como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.
Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae campos de los mensajes de syslog del balanceador de cargas de Kemp según el campo log_number y los asigna a la UDM. Controla varios formatos de registro con patrones grok y lógica condicional, convierte tipos de datos y enriquece eventos con metadatos, como el tipo de evento, el protocolo de la aplicación y los resultados de seguridad.
Tabla de asignación de la UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | El tiempo de recopilación de registros se usa como marca de tiempo del evento si no está presente timestamp. Los nanosegundos se truncan. |
| datos | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | El mensaje de registro sin formato. Se extraen varios campos de este campo según el número de registro y la lógica de análisis. |
| dstip | target.ip | Dirección IP de destino. |
| dstport | target.port | Es el puerto de destino. |
| filename | target.file.full_path | Es el nombre de archivo de los eventos de FTP. |
| file_size | target.file.size | Es el tamaño del archivo para los eventos de FTP. Se convirtió en un número entero sin signo. |
| ftpmethod | network.ftp.command | Comando o método de FTP |
| Nombre de host | intermediary.hostname | Nombre de host de los registros con formato CEF. |
| http_method | network.http.method | Método HTTP. |
| http_response_code | network.http.response_code | Código de respuesta HTTP. Se convirtió en número entero. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pares clave-valor de registros con formato CEF. Se usa para extraer varios campos. |
| log_event | metadata.product_event_type | Es el tipo de evento de los registros con formato CEF. |
| log_time | metadata.event_timestamp.seconds | Marca de tiempo del registro. Se convierte al formato de Chronicle y se usa como marca de tiempo del evento. Los nanosegundos se truncan. |
| msg/message | Ver data |
Contiene el mensaje de registro principal. Consulta data para obtener detalles sobre la asignación de la UDM. |
| pid | target.process.pid | ID de proceso. |
| recurso | target.url | Recurso al que se accedió |
| srcip | principal.ip | Dirección IP de origen. |
| src_ip | principal.ip | Dirección IP de origen. |
| srcport | principal.port | Es el puerto de origen. |
| src_port | principal.port | Es el puerto de origen. |
| SSHD | target.application | Es el nombre del daemon de SSH. |
| resumen | security_result.summary | Resumen del resultado de seguridad. |
| timestamp.seconds | events.timestamp.seconds | Marca de tiempo de la entrada del registro. Se usa como marca de tiempo del evento, si está presente. |
| usuario | target.user.userid | Nombre de usuario. |
| versus | target.ip | target.port | IP y puerto del servidor virtual La IP se asigna a target.ip. El puerto se asigna a target.port si dstport no está presente. |
| vs_port | target.port | Puerto del servidor virtual. Se determina mediante una lógica basada en log_number, dest_port, login_status y log_event. Los valores posibles son GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN y USER_UNCATEGORIZED. Está codificado de forma fija en "KEMP_LOADBALANCER". Está codificado de forma fija en "KEMP_LOADBALANCER". Está codificado de forma fija en “KEMP”. Se determina según dest_port. Los valores posibles son HTTP (puerto 80) y HTTPS (puerto 443). Se determina según login_status y audit_msg. Los valores posibles son ALLOW y BLOCK. Se determina según audit_msg. El valor posible es ERROR. Establece el valor en "AUTHTYPE_UNSPECIFIED" para los eventos USER_LOGIN. |
Cambios
2023-05-31
- Se analizaron registros con eventos como "connected", "slave accept" y "block access to host".
- Se asignó "srcip" a "principal.ip".
- Se asignó "dstip" a "target.ip".
- Se asignó "vs" a "target.ip".
- Se asignó "srcport" a "principal.port".
- Se asignó "dstport" a "target.port".
- Se asignó “resource” a “target.url”.
- Se asignó "event" a "metadata.product_event_type".
- Se analizaron los registros de syslog con errores.