Coletar registros do balanceador de carga Kemp
Neste documento, descrevemos como coletar registros do balanceador de carga Kemp usando um encaminhador do Google Security Operations.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão KEMP_LOADBALANCER.
Configurar o balanceador de carga Kemp
- Faça login no console do Kemp Load Balancer.
- Selecione Opções de geração de registros > Opções do Syslog.
Na seção Opções do Syslog, em qualquer um dos campos disponíveis, especifique o endereço IP do encaminhador do Google Security Operations.
Recomendamos especificar o endereço IP no campo Host de informações.
Clique em Mudar parâmetros do syslog.
Configurar o encaminhador do Google Security Operations para ingerir registros do balanceador de carga Kemp
- Selecione Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo para ele.
- Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
- No campo Nome do coletor, digite um nome exclusivo para ele.
- Selecione Balanceador de carga Kemp como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse analisador extrai campos das mensagens syslog do balanceador de carga Kemp com base no campo log_number, mapeando-os para a UDM. Ele processa vários formatos de registro usando padrões grok e lógica condicional, convertendo tipos de dados e enriquecendo eventos com metadados, como tipo de evento, protocolo de aplicativo e resultados de segurança.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | O horário de coleta do registro é usado como carimbo de data/hora do evento se timestamp não estiver presente. Os nanossegundos são truncados. |
| dados | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | A mensagem de registro bruta. Vários campos são extraídos com base no número do registro e na lógica de análise. |
| dstip | target.ip | Endereço IP de destino. |
| dstport | target.port | Porta de destino. |
| filename | target.file.full_path | Nome do arquivo para eventos de FTP. |
| file_size | target.file.size | Tamanho do arquivo para eventos de FTP. Convertido para número inteiro sem sinal. |
| ftpmethod | network.ftp.command | Comando/método FTP. |
| nome do host | intermediary.hostname | Nome do host dos registros formatados em CEF. |
| http_method | network.http.method | Método HTTP. |
| http_response_code | network.http.response_code | Código de resposta HTTP. Convertido em número inteiro. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pares de chave-valor de registros formatados em CEF. Usado para extrair vários campos. |
| log_event | metadata.product_event_type | Tipo de evento de registros formatados em CEF. |
| log_time | metadata.event_timestamp.seconds | Carimbo de data/hora do registro. Convertido para o formato do Chronicle e usado como carimbo de data/hora do evento. Os nanossegundos são truncados. |
| msg/message | Ver data |
Contém a mensagem principal do registro. Consulte data para mais detalhes sobre o mapeamento da UDM. |
| pid | target.process.pid | ID do processo. |
| recurso | target.url | Recurso acessado. |
| srcip | principal.ip | Endereço IP de origem. |
| src_ip | principal.ip | Endereço IP de origem. |
| srcport | principal.port | Porta de origem. |
| src_port | principal.port | Porta de origem. |
| sshd | target.application | Nome do daemon SSH. |
| resumo | security_result.summary | Resumo do resultado de segurança. |
| timestamp.seconds | events.timestamp.seconds | Carimbo de data/hora da entrada de registro. Usado como carimbo de data/hora do evento, se presente. |
| usuário | target.user.userid | Nome de usuário. |
| x | target.ip | target.port | IP e porta do servidor virtual. O IP é mapeado para target.ip. A porta é mapeada para target.port se dstport não estiver presente. |
| vs_port | target.port | Porta do servidor virtual. Determinado por lógica com base em log_number, dest_port, login_status e log_event. Os valores possíveis incluem GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN e USER_UNCATEGORIZED. Codificado como "KEMP_LOADBALANCER". Codificado como "KEMP_LOADBALANCER". Codificado como "KEMP". Determinado por dest_port. Os valores possíveis são HTTP (porta 80) e HTTPS (porta 443). Determinado por login_status e audit_msg. Os valores possíveis são ALLOW e BLOCK. Determinado por audit_msg. O valor possível é ERROR. Definido como "AUTHTYPE_UNSPECIFIED" para eventos USER_LOGIN. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.