Coletar registros do balanceador de carga Kemp
Este documento descreve como coletar registros do balanceador de carga Kemp usando um forwarder de operações de segurança do Google.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o
rótulo de transferência KEMP_LOADBALANCER.
Configurar o balanceador de carga Kemp
- Faça login no console do Kemp Load Balancer.
- Selecione Opções de geração de registros > Opções do Syslog.
Na seção Opções de Syslog, em qualquer um dos campos disponíveis, especifique o endereço IP do encaminhador de operações de segurança do Google.
É recomendável especificar o endereço IP no campo Host de informações.
Clique em Alterar parâmetros do syslog.
Configurar o forwarder do Google Security Operations para processar registros do balanceador de carga Kemp
- Selecione Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo.
- Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Add collector configuration aparece.
- No campo Nome do coletor, digite um nome exclusivo para o coletor.
- Selecione Kemp Load Balancer como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor usa para ouvir dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte de operações de segurança do Google.
Referência do mapeamento de campo
Esse analisador extrai campos das mensagens de syslog do Kemp Load Balancer com base no campo log_number, mapeando-os para o UDM. Ele processa vários formatos de registro usando padrões e lógica condicional grok, convertendo tipos de dados e enriquecendo eventos com metadados, como tipo de evento, protocolo do aplicativo e resultados de segurança.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | O tempo de coleta de registros é usado como carimbo de data/hora do evento se timestamp não estiver presente. Os nanossegundos são truncados. |
| dados | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | A mensagem de registro bruta. Vários campos são extraídos com base no número de registro e na lógica de análise. |
| dstip | target.ip | Endereço IP de destino. |
| dstport | target.port | Porta de destino. |
| filename | target.file.full_path | Nome do arquivo para eventos de FTP. |
| file_size | target.file.size | Tamanho do arquivo para eventos de FTP. Convertido em número inteiro sem sinal. |
| ftpmethod | network.ftp.command | Comando/método do FTP. |
| nome do host | intermediary.hostname | Nome do host dos registros formatados do CEF. |
| http_method | network.http.method | Método HTTP. |
| http_response_code | network.http.response_code | Código de resposta HTTP. Convertido em número inteiro. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pares de chave-valor de registros formatados do CEF. Usado para extrair vários campos. |
| log_event | metadata.product_event_type | Tipo de evento de registros formatados em CEF. |
| log_time | metadata.event_timestamp.seconds | Carimbo de data/hora do registro. Conversão para o formato do Chronicle e uso como carimbo de data/hora do evento. Os nanossegundos são truncados. |
| msg/message | Ver data |
Contém a mensagem de registro principal. Consulte data para saber mais sobre o mapeamento do UDM. |
| pid | target.process.pid | ID do processo. |
| recurso | target.url | Recurso acessado. |
| srcip | principal.ip | Endereço IP de origem. |
| src_ip | principal.ip | Endereço IP de origem. |
| srcport | principal.port | Porta de origem. |
| src_port | principal.port | Porta de origem. |
| sshd | target.application | Nome do daemon SSH. |
| resumo | security_result.summary | Resumo do resultado de segurança. |
| timestamp.seconds | events.timestamp.seconds | Carimbo de data/hora da entrada de registro. Usado como carimbo de data/hora do evento, se presente. |
| usuário | target.user.userid | Nome de usuário. |
| x | target.ip | target.port | IP e porta do servidor virtual. O IP é mapeado para target.ip. A porta será mapeada para target.port se dstport não estiver presente. |
| vs_port | target.port | Porta do servidor virtual. Determinado por lógica baseada em log_number, dest_port, login_status e log_event. Os valores possíveis incluem GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN e USER_UNCATEGORIZED. Fixado em "KEMP_LOADBALANCER". Fixado em "KEMP_LOADBALANCER". Fixado em "KEMP". Determinada por dest_port. Os valores possíveis são HTTP (porta 80) e HTTPS (porta 443). Determinado por login_status e audit_msg. Os valores possíveis são ALLOW e BLOCK. Determinado por audit_msg. O valor possível é ERROR. Defina como "AUTHTYPE_UNSPECIFIED" para eventos USER_LOGIN. |
Alterações
2023-05-31
- Logs analisados com eventos como "conectado", "aceite escravo" e "bloquear acesso ao host".
- "srcip" foi mapeado para "principal.ip".
- Mapeamos "dstip" para "target.ip".
- Mapeamos "vs" para "target.ip".
- "srcport" foi mapeado para "principal.port".
- "dstport" foi mapeado para "target.port".
- "resource" foi mapeado para "target.url".
- "event" foi associado a "metadata.product_event_type".
- Registros de syslog com falha analisados.