Recopila registros de APM de BIG-IP de F5

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros del Administrador de políticas de acceso (APM) de BIG-IP de F5 con un reenviador de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia F5_BIGIP_APM.

Configura la APM de BIG-IP de F5

  1. Accede al portal de la utilidad de configuración de BIG-IP con credenciales de administrador.
  2. Selecciona Principal > Sistema > Registros > Configuración > Registro remoto.

  3. En la sección Properties, haz lo siguiente:

    • En el campo IP remota, ingresa la dirección IP del reenviador de Operaciones de seguridad de Google.
    • En el campo Puerto remoto, ingresa un número de puerto alto.

  4. Haz clic en Agregar.

  5. Haz clic en Actualizar.

    En el caso de los registros de APM, solo se admite el formato de syslog de Berkeley Software Distribution (BSD).

    En función de las firmas de la APM, el recopilador solo procesa los registros de la APM. El recopilador de eventos de APM de BIG-IP de F5 también admite registros de subprocesos del dispositivo LTM 11.6 a 12.1.1.

    Si usas iRule, usa el formato recomendado de iRule. Google Security Operations solo admite el siguiente formato de iRule:

    # log_header_requests
###################################################################################
#################################################
# Purpose: logs header information to Local Traffic log
# #
#
# Update-Log Date By Description
# Created 02/07/2020 E01961 Initial implementation
#
#
###################################################################################
################################################
when HTTP_REQUEST {
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host]
[HTTP::uri]"
log local5. "================="
log local5. "$LogString (request)"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# set UserID [URI::query "?[HTTP::payload]" "UserID"]
# log local0. "User $UserID attempted login from [IP::client_addr] and referer:
[HTTP::header "Referer"]"
# log local0. "============================================="
}
when HTTP_RESPONSE {
log local5. "=================="
log local5. "$LogString (response) - status: [HTTP::status]"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# log local0. "============================================="

Configura el DNS de BIG-IP de F5

Para configurar el DNS de BIG-IP de F5, haz lo siguiente:

Crea un grupo de servidores de registro remotos

  1. En la pestaña Main, selecciona DNS > Publicación > Balanceo de cargas > Grupos o tráfico local > Grupos.
  2. En la ventana Lista de grupos que aparece, haz clic en Crear.
  3. En la ventana New pool que aparece, en el campo Name, proporciona un nombre único para el grupo.
  4. En la sección Miembros nuevos, agrega la dirección IP de cada servidor de registro remoto que quieras incluir en el grupo:
    1. En el campo Dirección, ingresa la dirección IP del reenviador de Google Security Operations o selecciona una dirección de nodo de la lista de nodos.
    2. En el campo Puerto de servicio, escribe un número de servicio o selecciona un nombre de servicio de la lista. Asegúrate de haber configurado el puerto de registro remoto correcto.
  5. Haz clic en Agregar y, luego, en Finalizar.

Crea un destino de registro remoto de alta velocidad

  1. En la pestaña Principal, selecciona Sistema > Registros > Configuración > Destinos de registro.
  2. En la ventana Destinos de registro que aparece, haz clic en Crear.
  3. En el campo Nombre, proporciona un nombre único y que se pueda identificar para este destino.
  4. En la lista Tipo, selecciona Registro remoto de alta velocidad.
  5. En la lista Nombre del grupo, selecciona el grupo de servidores de registro remotos al que deseas que el sistema BIG-IP envíe mensajes de registro.
  6. En la lista Protocolo, selecciona el protocolo que usan los miembros del grupo de registro de alta velocidad.
  7. Haz clic en Finalizado.

Crea un destino de registro remoto de alta velocidad con formato

  1. En la pestaña Main, selecciona System > Logs > Configuration > Log Destinations.
  2. En la ventana Destinos de registro que aparece, haz clic en Crear.
  3. En el campo Nombre, proporciona un nombre único y que se pueda identificar para este destino.
  4. En la lista Tipo, selecciona un destino de registro con formato como Syslog remoto. El sistema BIG-IP ahora está configurado para enviar una cadena de texto con formato a los servidores de registro.
  5. En la lista Tipo, selecciona un formato para los registros.
  6. En la pestaña Reenviar a, selecciona la lista Destino de registro de alta velocidad y, luego, selecciona el destino que apunta a un grupo de servidores syslog remotos al que deseas que el sistema BIG-IP envíe mensajes de registro.
  7. Haz clic en Finalizado.

Cómo crear un editor

  1. En la pestaña Principal, selecciona Sistema > Registros > Configuración > Publicadores de registros.
  2. En la ventana Log publishers que aparece, haz clic en Create.
  3. En el campo Nombre, proporciona un nombre único y que se pueda identificar para el publicador.
  4. En la lista Publicador de registros, selecciona el destino que creaste antes.
  5. Para mover el destino a la lista seleccionada, haz clic en << Mover.
  6. Si usas un destino con formato, selecciona el destino que creaste recientemente y que coincida con tus servidores de registro, como Syslog remoto, Splunk o ArcSight.
  7. Haz clic en Finalizado.

Crea un perfil de registro de DNS personalizado

  1. En la pestaña Principal, selecciona DNS > Publicación > Perfiles > Otros Registros de DNS o Tráfico local > Perfiles > Otros > Registros de DNS.
  2. En la ventana Lista de perfiles de registro de DNS que aparece, haz clic en Crear.
  3. En el campo Nombre, proporciona un nombre único para el perfil.
  4. En la lista Log publisher, selecciona un destino al que el sistema BIG-IP envía entradas de registro de DNS.
  5. Si quieres usar el sistema BIG-IP, haz lo siguiente:
    • Para registrar todas las consultas de DNS, en el parámetro de configuración Log queries, asegúrate de que esté seleccionada la casilla de verificación habilitada.
    • Para registrar todas las respuestas de DNS, en la configuración Log responses, selecciona la casilla de verificación habilitada.
    • Para incluir el ID de consulta que envió el cliente en los mensajes de registro, en la configuración Incluir ID de consulta, selecciona la casilla de verificación habilitada.
  6. Haz clic en Finalizado.

Agrega un perfil de registro de DNS al objeto de escucha

  1. En la pestaña Principal, selecciona DNS > Publicación > Objetos de escucha > Objeto de escucha de DNS.
  2. En la sección Servicio, en la lista Perfil de DNS, selecciona el perfil de DNS que configuraste antes.
  3. Haz clic en Actualizar.

Configura el reenviador de Google Security Operations para transferir los registros de APM de BIG-IP de F5

  1. Ve a Configuración de SIEM > Redireccionamientos.
  2. Haz clic en Agregar nuevo remitente.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre.
  6. Selecciona F5 BIGIP Access Policy Manager como el Tipo de registro.
  7. Selecciona Syslog como el tipo de recopilador.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo.
    • Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y las direcciones de los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.

Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador de APM de BIG-IP de F5 extrae campos de los mensajes de syslog y los clasifica según la fuente de la aplicación (tmsh, tmm, apmd, httpd o cualquier otra). Luego, asigna estos campos extraídos a la UDM, controla varios formatos de registro y enriquece los datos con metadatos, como la gravedad, la ubicación y la información del usuario.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
aplicación principal.application El valor se toma del campo application que extrae el filtro grok.
bytes_in network.received_bytes El valor se toma del campo bytes_in que extrae el filtro grok y se convierte en un número entero sin firma.
bytes_out network.sent_bytes El valor se toma del campo bytes_out que extrae el filtro grok y se convierte en un número entero sin firma.
cmd_data principal.process.command_line El valor se toma del campo cmd_data que extrae el filtro kv.
destination_ip target.ip El valor se toma del campo destination_ip que extrae el filtro grok.
destination_port target.port El valor se toma del campo destination_port que extrae el filtro grok y se convierte en número entero.
carpeta principal.process.file.full_path El valor se toma del campo folder que extrae el filtro kv.
geoCountry principal.location.country_or_region El valor se toma del campo geoCountry que extrae el filtro grok.
geoState principal.location.state El valor se toma del campo geoState que extrae el filtro grok.
inner_msg security_result.description El valor se toma del campo inner_msg que extrae el filtro grok cuando no hay otra descripción específica disponible.
ip_protocol network.ip_protocol El valor se toma del campo ip_protocol que extrae el filtro grok.
principal_hostname principal.hostname El valor se toma del campo principal_hostname que extrae el filtro grok.
principal_ip principal.ip El valor se toma del campo principal_ip que extrae el filtro grok.
process_id principal.process.pid El valor se toma del campo process_id que extrae el filtro grok.
rol user_role.name El valor se toma del campo role que extrae el filtro grok. Si el campo role contiene "admin" (sin distinción entre mayúsculas y minúsculas), el valor se establece en "ADMINISTRATOR".
gravedad, security_result.severity_details Aquí se almacena el valor original del mensaje de syslog. El valor se deriva del campo severity mediante lógica condicional:
CRITICAL -> CRITICAL
ERR -> ERROR
ALERT, EMERGENCY -> HIGH
INFO, NOTICE -> INFORMATIONAL
DEBUG -> LOW
WARN -> MEDIUM
source_ip principal.ip El valor se toma del campo source_ip que extrae el filtro grok.
source_port principal.port El valor se toma del campo source_port que extrae el filtro grok y se convierte en número entero.
estado security_result.summary El valor se toma del campo status que extrae el filtro kv.
timestamp metadata.event_timestamp, timestamp El valor se toma del campo timestamp que extrae el filtro grok y se analiza en un objeto de marca de tiempo. El campo timestamp en el objeto event de nivel superior también obtiene este valor.
usuario principal.user.userid El valor se toma del campo user que extrae el filtro grok, después de quitar los prefijos "id" o "ID". El valor se obtiene en función de la presencia de otros campos:
Si existe user: USER_UNCATEGORIZED
Si existen source_ip y destination_ip: NETWORK_CONNECTION
Si existen principal_ip o principal_hostname: STATUS_UPDATE
De lo contrario: GENERIC_EVENT codificado en "BIGIP_APM". Está codificado en "F5". Si el campo result es “error”, el valor se establece en “BLOQUEAR”.

Cambios

2023-06-06

  • Sin embargo, el analizador se creó recientemente.