Esta página foi traduzida pela API Cloud Translation.

Coletar registros de LTM do F5 BIG-IP

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar logs do F5 BIG-IP Local Traffic Manager (LTM) usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência F5_BIGIP_LTM.

Configurar o LTM do F5 BIG-IP

Faça login no SSH usando credenciais raiz.
Faça login no shell de gerenciamento de tráfego (tmsh) com o seguinte comando:

tmsh
Envie mensagens de registro filtradas para servidores syslog remotos com o seguinte comando:

modify /sys syslog remote-servers none
Remova a instrução remote-servers e adicione uma instrução include de syslog que defina uma regra de filtro e o servidor remoto.
Para definir o filtro syslog necessário que faz referência ao servidor remoto, use o seguinte comando:

edit /sys syslog all-properties

Substitua o comando include none pelo filtro a seguir e adicione o endereço IP e o número da porta.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

Substitua IP_ADDRESS pelo endereço IP do encaminhador de operações de segurança do Google e port pelo número de porta alto.

Para sair do editor de texto, pressione Esc e digite wq!.
Salve a configuração com o seguinte comando:

save /sys config

Configurar o forwarder e o syslog do Google Security Operations para processar registros LTM do F5 BIG-IP

Acesse Configurações do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, insira um nome exclusivo.
Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
No campo Nome do coletor, digite um nome.
Selecione F5 BIGIP LTM como o Tipo de registro.
Selecione Syslog como o Tipo de coletor.
Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo.
- Endereço: especifique o endereço IP do encaminhador das Operações de segurança do Google.
- Porta: especifique a porta.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador normaliza os registros do F5 BIG-IP Local Traffic Manager (LTM), processando formatos de chave-valor e syslog. Ele extrai campos como endereços IP, nomes de usuário, ações e descrições, mapeia-os para o UDM e categoriza eventos com base no conteúdo do registro e nos campos extraídos, incluindo conexões de rede, logins/saídas de usuários e eventos genéricos.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente da chave `Access_Profile` nos pares de chave-valor analisados.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mapeado diretamente da chave `Client_IP` nos pares de chave-valor analisados. Também é usado para preencher o IP do recurso principal. Define `has_principal` como verdadeiro.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Mapeado diretamente da chave `Country` nos pares de chave-valor analisados.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente da chave `Listener` nos pares de chave-valor analisados.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente da chave `Session_ID` nos pares de chave-valor analisados.
`State`	`event.idm.read_only_udm.principal.location.state`	Mapeado diretamente da chave `State` nos pares de chave-valor analisados.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	Mapeado diretamente da chave `Virtual_IP` nos pares de chave-valor analisados. Também é usado para preencher o IP do recurso de destino. Define `has_target` como verdadeiro.
`about`	`event.idm.read_only_udm.about`	Preenchido com vários campos, como `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade` e `device`, se estiverem presentes no registro bruto e forem analisados com sucesso.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente para registros de processo `scriptd`.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	Mapeado diretamente.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `blade` nos pares de chave-valor analisados.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente, convertido em número inteiro sem sinal.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente, convertido em número inteiro sem sinal.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `client` nos pares de chave-valor analisados.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mapeado diretamente. Também é usado para preencher o IP do recurso principal. Define `has_principal` como verdadeiro.
`client_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente, convertido em número inteiro.
`collection_time`	`event.timestamp`	O carimbo de data/hora da entrada de registro é usado como o carimbo de data/hora do evento.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente para registros de processo `CROND` e alguns registros `logger`.
`data`	`message`	A mensagem de registro bruta. Ele é analisado e usado para preencher vários campos do UDM.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	Mapeado diretamente para alguns tipos de registro ou usado como parte da descrição do resultado de segurança.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente. Também usado para preencher o nome de host do recurso principal. Define `has_principal` como verdadeiro.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente. Também é usado para preencher o IP do recurso de destino. Define `has_principal` como verdadeiro.
`dest_port`	`event.idm.read_only_udm.target.port`	Mapeado diretamente.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	Analisado para extrair o nome do host ou o IP. Usado para preencher o nome de host principal ou intermediário.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente da chave `errdefs_msgno` nos pares de chave-valor analisados.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	Não mapeado no exemplo fornecido, mas seria mapeado para o continente, se disponível.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	Mapeado diretamente.
`geoState`	`event.idm.read_only_udm.principal.location.state`	Mapeado diretamente.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	Mapeado diretamente.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	Mapeado diretamente. Também convertido em user agent analisado.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Analisado para extrair IPs e mesclá-los no IP principal e no IP do recurso principal.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Mapeado diretamente. Também usado para preencher o nome de host do recurso de destino. Define `has_target` como verdadeiro.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Mapeado diretamente. Também usado para preencher o nome de host do recurso de destino. Define `has_target` como verdadeiro.
`http_method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente. Define `event_type` como `NETWORK_HTTP`, se presente.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mapeado diretamente. Também é usado para preencher o IP do recurso principal. Define `has_principal` como verdadeiro.
`kv_msg`	Vários campos	Analisado como pares de chave-valor e usado para preencher vários campos do UDM.
`Level`	`event.idm.read_only_udm.security_result.severity`	Mapeado para a gravidade se o campo `severity` não estiver presente. Conversão para valores de gravidade do UDM (por exemplo, "Info" -> "INFORMATIONAL").
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	Analisado para extrair `request_uri` ou `description`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mapeado diretamente do campo `log_type` do registro bruto.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	Mapeado para a gravidade. Conversão para valores de gravidade do UDM (por exemplo, "warning" -> "MEDIUM", "err" -> "HIGH"). Também usado para a lógica de alerta/evento significativo.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mapeado diretamente. Também é usado para preencher o IP do recurso principal. Define `has_principal` como verdadeiro.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente. Define `event_type` como `NETWORK_HTTP`.
`method_req`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente.
`msg1`	`event.idm.read_only_udm.security_result.description`	É usado como a descrição do resultado de segurança se não for analisado mais detalhadamente.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `node` nos pares de chave-valor analisados.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `pool_member` nos pares de chave-valor analisados.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente. Também usado para preencher o nome de host do recurso principal. Define `has_principal` como verdadeiro.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	Mapeado diretamente. Também é usado para preencher o IP do recurso principal e o IP do observador. Define `has_principal` como verdadeiro.
`principalPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente, convertido em número inteiro.
`process`	`event.idm.read_only_udm.target.application`	Mapeado diretamente.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Mapeado para o protocolo IP após a conversão do número do protocolo para o nome do protocolo usando uma pesquisa.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `query` nos pares de chave-valor analisados.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`reason`	`event.idm.read_only_udm.security_result.description`	Mapeamento direto para registros de processo `apmd` com nível de registro de aviso ou erro.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	É usado para determinar o protocolo do aplicativo (HTTP) e mapeado como um rótulo.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`request_uri`	`event.idm.read_only_udm.target.url`	Mapeado diretamente.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	Mapeado diretamente, convertido em número inteiro.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mapeado diretamente, convertido em número inteiro.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	Mapeado para a ação. "Continuar" é convertido em "PERMITIR". Outros valores são convertidos em "BLOCK".
`security_result`	`event.idm.read_only_udm.security_result`	Mesclado no objeto security_result.
`session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado para a gravidade. Conversão para valores de gravidade do UDM (por exemplo, "Erro" -> "ERROR", "Informativo" -> "INFORMATIONAL").
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	Mapeado diretamente.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `snat` nos pares de chave-valor analisados.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	Mapeado diretamente.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente, convertido em número inteiro.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mapeado diretamente. Também é usado para preencher o IP do recurso principal.
`src_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Mapeado diretamente.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	Mapeado diretamente.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`status`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente para registros de processo `scriptd`.
`summary`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente para alguns tipos de registro.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	Analisado para extrair informações do sistema e mapeá-las como identificadores para o recurso principal.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente para registros de processo `scriptd`.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente. Também é usado para preencher o IP do recurso de destino. Define `has_target` como verdadeiro.
`targetPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente, convertido em número inteiro.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente.
`timestamp`	`event.timestamp`	Mapeado diretamente após a análise e a rebasagem.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	Mapeado diretamente.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	Mapeado diretamente. Se o valor for HTTP/1.1, "HTTP" será mapeado.
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente. Também usado para preencher o nome de host do recurso principal. Define `has_principal` como verdadeiro.
`uri`	`event.idm.read_only_udm.target.url`	Mapeado diretamente.
`uri_path`	`event.idm.read_only_udm.target.url`	Mapeado diretamente, concatenado com `uri_query`, se presente.
`url`	`event.idm.read_only_udm.principal.url`	Mapeado diretamente.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	Mapeado diretamente.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	Mapeado diretamente. Também é usado para preencher o ID do usuário de destino. Define `has_principal_user` como verdadeiro.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Fixado em "F5".
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `vs` nos pares de chave-valor analisados.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mapeado diretamente da chave `vs_name` nos pares de chave-valor analisados.
N/A	`event.idm.read_only_udm.metadata.event_type`	Determinado pela lógica do analisador com base na presença de determinados campos. O valor padrão é `GENERIC_EVENT`. Pode ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE` ou `NETWORK_HTTP`.
N/A	`event.idm.read_only_udm.metadata.product_name`	Fixado em "BIG-IP Local Traffic Manager (LTM)".
N/A	`event.idm.read_only_udm.metadata.vendor_name`	Fixado em "F5".
N/A	`event.idm.read_only_udm.metadata.event_timestamp`	Copiado do `event.timestamp` de nível superior.
N/A	`event.idm.read_only_udm.security_result.severity`	Determinado pela lógica do analisador com base nos campos `severity` ou `Level`, se presentes. O padrão é `UNKNOWN_SEVERITY`. Pode ser `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH` ou `CRITICAL`.
N/A	`event.idm.read_only_udm.security_result.summary`	Defina como "Falha de autenticação" para registros `apmd` específicos.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Defina como "VPN" para registros específicos de `apmd` e `sshd`. Caso contrário, defina como `AUTHTYPE_UNSPECIFIED` para eventos `USER_LOGIN` e `USER_LOGOUT`.
N/A	`event.idm.read_only_udm.network.ip_protocol`	O padrão é "TCP" se `proto` não estiver presente. Caso contrário, é determinado pelo campo `proto`.
N/A	`event.idm.is_alert`, `event.idm.is_significant`	Defina como `true` se `loglevel` for "alert", "crit" ou "emer".

Alterações

2024-05-06

Adição de suporte para processar um novo formato de registros KV.
"tlsproto" foi mapeado para "network.tls.version_protocol".
"method_req" foi mapeado para "network.http.method".
O "path" foi mapeado para "target.url".
"url" foi mapeado para "principal.url".
"client_ip" foi associado a "principal.ip" e "principal.asset.ip".
"device" foi mapeado para "principal.hostname" e "principal.asset.hostname".
"host" foi mapeado para "target.hostname" e "target.asset.hostname".
Mapeamos "vip" para "target.ip" e "target.asset.ip".
"client_port" foi mapeado para "principal.port".
"snat_ip" foi mapeado para "principal.nat_ip".
"snat_port" foi mapeado para "principal.nat_port".
Mapeou "vs_name", "path", "query", "node", "pool_member", "vs", "device", "blade", "client" e "snat" para "about.resource.attribute.labels".

2024-03-23

Adição de gsub para remover caracteres indesejados e analisar os registros.
Mapeamos "support_id", "query_string" e "request_status" para "additional.fields".
"uri" foi associado a "target.url".

2024-02-23

melhoria
Foi adicionado um bloco "kv" para recuperar dados no formato chave-valor.
Adicionamos suporte a registros no formato CSV.
Foi adicionado um padrão Grok para extrair campos de chave-valor.
Mapeamos "dest_ip" para "target_ip".
"dest_port" foi mapeado para "targetPort"
"src_port" foi mapeado para "principalPort"
"dest_port" foi mapeado para "targetPort"
"ip_client" e "manage_ip_addr" foram mapeados para "principal.ip" e "principal.asset.ip".
Mapeou "target_ip" e "Virtual_IP para "target.ip" e "target.asset.ip"
"severity" foi mapeado para "security_result.severity"
"session_id" foi mapeado para "network.session_id"
Mapeamos "rede" para "network.http.method"
"violations", "policy_name" e "req_status" foram mapeados para "security_result.detection_fields".
"Protocol" foi mapeado para "network.application_protocol"
"staged_threat_campaign_names","staged_sig_ids","threat_campaign_names","staged_sig_names","captcha_result","sig_set_names","staged_sig_set_names", "sig_ids", "sig_names","resp_code" e "false_positive" foram mapeados para "additional.fields".

2024-01-24

correção de bugs
O mapeamento de "uri_pathuri_query" e "header.Referer" foi alterado.
O mapeamento de "uri_pathuri_query" para "target.url" foi alterado de "network.http.referral_url".
O mapeamento de "header.Referer" para "network.http.referral_url" foi alterado de "security_result.about.resource.attribute.labels".

2023-12-14

melhoria
Adição de suporte a registros no formato JSON.

2023-08-28

melhoria
Foi adicionado um bloco "kv" para recuperar dados no formato chave-valor.
O "processo" foi mapeado para "target.application".
"Country" foi mapeado para "principal.location.country_or_region".
"Estado" foi mapeado para "principal.location.state".
"Client_IP" foi mapeado para "principal.ip".
"Virtual_IP" foi mapeado para "target.ip".
Mapeamos "Session_ID" para "network.session_id".
Mapeamos "errdefs_msgno", "partition_name", "Listener" e "Access_Profile" para "additional.fields".

2023-07-18

Registros analisados em que "process" é "apmd" e "loglevel" é "notice".

18/05/2023

Melhoria: foram adicionados padrões Grok para analisar os registros que contêm "tmm".
Os registros que contêm "anacron", "run-parts" e "syslog-ng" foram analisados.

2023-05-09

correção de bugs
O nome do host que está sendo mapeado para intermediário.nome_do_host mapeado para principal.nome_do_host para Syslogs.

2023-03-14

melhoria
"intermediary.hostname" foi mapeado para event_type "USER_LOGIN" e "NETWORK_CONNECTION".
Os registros que estão sendo analisados como "GENERIC_EVENT" se "principal.user.userid" estiver presente e mapeado para "USER_UNCATEGORIZED".
Os registros que são analisados como "GENERIC_EVENT" se "principal.ip" estiver presente e mapeado para "STATUS_UPDATE".

2023-02-23

melhoria
O padrão Grok foi atualizado para os tipos de processo "httpd" e "tmm".

2023-02-06

melhoria
O padrão de grok foi atualizado para o tipo de processo "tmm".
O código redundante "target.hostname" foi removido e definido como genérico/global.
O mapeamento de "target.hostname" foi alterado para "intermediary.hostname".

2023-02-02

melhoria
O padrão de grok foi atualizado para o tipo de processo "tmm".
O mapeamento de "target.hostname" foi alterado para "intermediary.hostname".
O metadata.event_type foi modificado de "GENERIC_EVENT" para "STATUS_UPDATE" quando principal.ip está presente.

2022-06-21

correção de bugs
O padrão de grok para o tipo de processo "tmm" foi atualizado

2022-05-02

correção de bugs
Mapeamentos duplicadas foram removidas para "event.idm.read_only_udm.security_result".
Os registros com falhas durante o teste da API Validation foram analisados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.