收集 F5 AFM 日志
支持:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 F5 Advanced Firewall Management (AFM) 日志注入 Google Security Operations。
F5 BIG-IP AFM 是一个网络防火墙模块,用于为防火墙规则操作(接受、丢弃、拒绝)、IP 情报事件和 TCP 错误生成 syslog 消息。解析器会从 CSV 格式或 syslog 格式的日志中提取字段,并将它们映射到统一数据模型 (UDM)。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 F5 BIG-IP 设备之间的网络连接
- 如果通过代理运行,请确保防火墙端口根据 Bindplane 代理要求打开
- 对 F5 BIG-IP 和 F5 Advanced Firewall Management 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件 。
将该文件安全地保存在将安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 前往 SIEM 设置 > 个人资料。
从组织详细信息 部分复制并保存客户 ID 。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符 或 PowerShell 。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为正在运行 。
Linux 安装
- 使用 root 或 sudo 权限打开终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为活跃 (running) 。
其他安装资源
如需了解其他安装选项和问题排查,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并发送到 Google SecOps
找到配置文件
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:5145" exporters: chronicle/f5_afm: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: F5_AFM raw_log_field: body service: pipelines: logs/f5_afm_to_chronicle: receivers: - tcplog exporters: - chronicle/f5_afm
配置参数
替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0以监听所有接口(推荐)- 端口
5145用于 F5 AFM 高速日志记录(根据您的 F5 配置进行调整)
导出器配置:
creds_file_path:注入身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:从 Google SecOps 控制台复制的客户 IDendpoint:区域级端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
- 修改后,保存文件:
- Linux:按
Ctrl+O,然后按Enter,再按Ctrl+X - Windows:依次点击文件 > 保存
- Linux:按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务正在运行:
sudo systemctl status observiq-otel-collector检查日志中的错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry Collector 。
- 右键点击并选择重启 。
验证服务正在运行:
sc query observiq-otel-collector检查日志中的错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
启用 F5 BIG-IP Advanced Firewall Manager
- 登录 BIG-IP 设备 管理控制台。
- 前往系统 > 许可。
- 验证 Advanced Firewall Manager 是否已获得许可 且已启用 。
- 如需启用 Advanced Firewall Manager,请前往系统 > 资源 > 预配。
- 从预配列 中选择复选框,然后从列表中选择 Nominal 。
- 点击提交 。
在 F5 AFM 中配置日志记录池
- 前往本地流量 > 池。
- 点击创建 。
- 提供以下配置详细信息:
- 名称:输入日志记录池的名称(例如 logging_pool)。
- 健康状况监控器:在可用列表中,选择TCP,然后点击<<。
- 在资源 标签页中,从节点名称 列表中选择您之前创建的日志记录池 。
- 在地址 字段中,输入 Bindplane 代理 IP 地址。
- 在服务端口 字段中,输入
5145或您在 Bindplane 代理中定义的其他端口。 - 点击 Add (添加)。
- 点击完成 。
在 F5 AFM 中配置格式化日志目标
- 前往系统 > 日志 > 配置 > 日志目标。
- 点击创建 。
- 提供以下配置详细信息:
- 名称:输入日志记录格式目标的名称(例如
Logging_Format_Destination)。 - 说明:输入说明。
- 类型:选择远程 Syslog。
- Syslog 格式:选择 Syslog。
- 高速日志记录目标:选择高速日志记录目标(例如
Logging_HSL_Destination)。
- 名称:输入日志记录格式目标的名称(例如
- 点击 Finished 。
在 F5 AFM 中配置日志发布者
- 前往系统 > 日志 > 配置 > 日志发布者。
- 点击创建 。
- 提供以下配置详细信息:
- 名称:输入发布者的名称(例如
Log_Publisher)。 - 说明:输入说明。
- 目标:选择您在在 F5 AFM 中配置日志记录池 步骤中创建的日志目标名称 ,然后点击 << 以将项添加到已选 列表中。
- 名称:输入发布者的名称(例如
在 F5 AFM 中配置日志记录配置文件
- 前往安全 > 事件日志 > 日志记录配置文件。
- 点击创建 。
- 提供以下配置详细信息:
- 名称:输入日志配置文件的名称(例如 Logging_Profile)。
- 网络防火墙:选中已启用 复选框。
- 发布者:选择您之前配置的日志发布者(例如
Log_Publisher)。 - 日志规则匹配项:选中接受、丢弃和拒绝 复选框。
- 记录 IP 错误:选中已启用 复选框。
- 记录 TCP 错误:选中已启用 复选框。
- 记录 TCP 事件:选中已启用 复选框。
- 存储格式:选择 Field-List。
- 分隔符:输入
,(英文逗号)作为事件的分隔符。 - 存储选项:在可用项列表中选择所有选项,然后点击<<。
- 在 IP 情报 标签页中,选择您配置的日志发布者 (例如
Log_Publisher)。
- 点击 Finished 。
在 F5 AFM 中配置虚拟服务器配置文件关联
- 前往本地流量 > 虚拟服务器。
- 选择要修改的虚拟服务器 。
- 前往安全标签页 > 政策。
- 从日志配置文件 列表中,选择已启用 。
- 在配置文件 字段中,选择 Logging_Profile ,然后点击 << 。
- 点击更新 。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| acl_policy_name | security_result.detection_fields.acl_policy_name | 如果日志格式为 SYSLOG,则为 column22 的值,否则为 column13 的值 |
| acl_policy_type | security_result.detection_fields.acl_policy_type | 如果日志格式为 SYSLOG,则为 column21 的值,否则为 column18 的值 |
| acl_rule_name | security_result.rule_name | 如果日志格式为 SYSLOG,则为 column23 的值,否则为 column11 的值 |
| acl_rule_uuid | security_result.rule_id | 来自 grok 模式的 acl_rule_uuid 字段的值 |
| 操作 | security_result.action | 如果 column25 的值为 Drop、Reject 或 Block,则为 BLOCK;否则,如果 column25 的值为 Accept、Accept decisively、Established 或 Allow,则为 ALLOW |
| attackID | security_result.detection_fields.attackID | 如果日志格式为 CSV 且没有 src_ip,则为 column12 的值 |
| bigip_hostname | intermediary.hostname | 如果日志格式为 SYSLOG,则为 column2 的值,否则为 column3 的值 |
| bigip_ip | intermediary.ip | 如果日志格式为 SYSLOG,则为 column2 的值,否则为 column1 的值 |
| context_name | additional.fields.context_name.string_value | 如果日志格式为 SYSLOG,则为 column4 的值;否则,如果有 src_ip,则为 column10 的值,否则为 column5 的值 |
| context_type | additional.fields.context_type.string_value | 如果日志格式为 SYSLOG,则为 column3 的值;否则,如果有 src_ip,则为 column4 的值,否则为 column4 的值 |
| dest_fqdn | additional.fields.dest_fqdn.string_value | 如果日志格式为 SYSLOG,则为 column7 的值,否则为 column13 的值 |
| dest_geo | additional.fields.dest_geo.string_value | column14 的值 |
| dest_ip | target.asset.ip, target.ip | 如果日志格式为 SYSLOG,则为 column8 的值;否则,如果有 src_ip,则为 column6 的值,否则为 column6 的值 |
| dest_port | target.port | 如果日志格式为 SYSLOG,则为 column10 的值;否则,如果有 src_ip,则为 column8 的值,否则为 column8 的值 |
| drop_reason | security_result.summary | 如果日志格式为 SYSLOG,则为 column26 的值,否则为 column19 的值 |
| eventId | additional.fields.eventId.string_value | 在 grok 模式中捕获的值 |
| flow_id | additional.fields.flow_id.string_value | 如果日志格式为 SYSLOG,则为 column29 的值,否则为 column17 的值 |
| loglevel | security_result.severity | 如果 grok 模式中的 loglevel 字段的值为 warning、debug 或 notice,则为 MEDIUM;否则,如果值为 info 或 informational,则为 INFORMATIONAL;否则,如果值为 err 或 error,则为 HIGH;否则,如果值为 alert、crit 或 emer,则为 CRITICAL |
| packetsReceived | network.received_packets | 如果日志格式为 CSV 且没有 src_ip,则为 column15 的值 |
| 原始事件 | target.application | 来自 grok 模式的原始事件字段的值 |
| protocol_number_src | network.ip_protocol | 如果日志格式为 SYSLOG,则为 column12 的值,否则为从 ip_protocol_out 变量中提取的值 |
| route_domain | additional.fields.route_domain.string_value | 如果日志格式为 SYSLOG,则为 column13 的值,否则为 column9 的值 |
| source_fqdn | additional.fields.source_fqdn.string_value | 如果日志格式为 SYSLOG,则为 column5 的值,否则为 column7 的值 |
| src_geo | additional.fields.src_geo.string_value | column8 的值 |
| src_ip | principal.asset.ip, principal.ip | 如果日志格式为 SYSLOG,则为 column6 的值;否则,如果日志格式为 CSV 且没有 src_ip,则为 column9 的值,否则为 column5 的值 |
| src_port | principal.port | 如果日志格式为 SYSLOG,则为 column9 的值;否则,如果日志格式为 CSV 且没有 src_ip,则为 column7 的值,否则为 column7 的值 |
| ts | metadata.event_timestamp | 来自 grok 模式的 ts 字段的值 |
| vlan | additional.fields.vlan.string_value | 如果日志格式为 SYSLOG,则为 column11 的值,否则为 column21 的值 |
| metadata.event_type | 如果 src_ip 和 dest_ip 存在,则为 NETWORK_CONNECTION;否则,如果仅存在 src_ip,则为 STATUS_UPDATE;否则为 GENERIC_EVENT | |
| metadata.log_type | F5_AFM | |
| metadata.product_name | Advanced Firewall Management | |
| metadata.vendor_name | F5 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。