Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log F5 ASM

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di F5 Application Security Manager (ASM) in Google Security Operations utilizzando l'agente Bindplane.

F5 BIG-IP ASM è un web application firewall (WAF) che genera messaggi syslog per violazioni delle richieste HTTP, azioni di applicazione delle norme ed eventi di sicurezza. Il parser supporta più formati di log (CEF, syslog, CSV, Splunk, JSON) e li mappa al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'appliance F5 BIG-IP
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato a tmsh di F5 BIG-IP

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/f5_asm:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: F5_ASM
        raw_log_field: body

service:
    pipelines:
        logs/f5_asm_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/f5_asm

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura Syslog in F5 ASM

Accedi all'istanza tmsh digitando il seguente comando:
```
tmsh
```
Modifica la configurazione di syslog utilizzando il seguente comando:
```
edit /sys syslog all-properties
```

La configurazione Syslog si apre nell'editor di testo vi e ha un aspetto simile al seguente esempio:

modify syslog {
    auth-priv-from notice
    auth-priv-to emerg
    cron-from warning
    cron-to emerg
    daemon-from notice
    daemon-to emerg
    description none
    include none
    iso-date disabled
    kern-from notice
    kern-to emerg
    mail-from notice
    mail-to emerg
    messages-from notice
    messages-to warning
    remote-servers none
    user-log-from notice
    user-log-to emerg
}

Sostituisci la riga include none con il seguente filtro syslog:

include `
    filter f_audit{
        match(AUDIT);
    };
    destination d_syslog_server {
        udp(\`<bindplane-ip>\` port (<bindplane-port>));
    };
    log {
        source(s_syslog_pipe);
        filter(f_audit);
        destination(d_syslog_server);
    };
`

Sostituisci <bindplane-ip> e <bindplane-port> con l'indirizzo IP e il numero di porta effettivi configurati per l'agente Bindplane.
Esci da vi digitando la seguente sequenza di tasti:
```
:wq!
```
Al prompt successivo, digita y per salvare le modifiche al file:
```
Save changes? (y/n/e)
```
Salva la configurazione digitando il seguente comando:
```
save /sys config
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.action`	Se `act` è `blocked`, viene mappato a BLOCK. Se `act` è `passed` o `legal`, viene mappato su ALLOW. Se `act` contiene `alerted`, viene mappato a QUARANTENA. In caso contrario, il valore predefinito è ALLOW per il formato Splunk.
`app`	`network.application_protocol`	Mappato direttamente a HTTPS se presente nel log non elaborato.
`attack_type`	`security_result.category_details`, `metadata.description`	Utilizzato in combinazione con altri campi per determinare `security_result.category`. Se non è disponibile un'altra descrizione, questa diventa la descrizione dell'evento. Per i log in formato Splunk, viene utilizzato per determinare la categoria e il riepilogo se `violations` è vuoto.
`client_ip`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.
`cn1`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`cn2`	`security_result.severity_details`	Mappa direttamente i dettagli della gravità del risultato di sicurezza. Utilizzato con `response_code` per determinare se un evento è un avviso.
`column1`	`principal.ip`, `principal.asset.ip`	Mappa l'IP principale per determinati log formattati in formato CSV.
`column2`	`target.port`	Mappa la porta di destinazione per determinati log in formato CSV.
`column3`	`target.ip`, `target.asset.ip`	Mappa l'IP di destinazione per determinati log in formato CSV.
`column4`	`security_result.severity`	Mappa la gravità del risultato di sicurezza per determinati log formattati in formato CSV. I valori `Information`, `Informational`, `0`, `4` corrispondono a INFORMATIONAL. `Warning`, `1`, `3` corrispondono a MEDIA. `Error`, `2` map to ERROR. `Critical`, `CRITICAL`, `critical` corrisponde a CRITICO.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Contiene dati XML. `viol_name` all'interno di `request-violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Request Violation Name_index`. `viol_name` all'interno di `response_violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Response Violation Name_index`. `response_code` in `response_violations` corrisponde a `network.http.response_code`.
`column8`	`security_result.rule_name`	Corrisponde al nome della regola dei risultati di sicurezza per determinati log in formato CSV.
`cs1`	`security_result.rule_name`	Corrisponde direttamente al nome della regola dei risultati di sicurezza.
`cs2`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Se `cs5` contiene un URL LDAP JNDI, viene aggiunto come campo aggiuntivo con la chiave `JNDI_LDAP_URL`. In caso contrario, se contiene IP separati da virgole, qualsiasi IP diverso da `principal_ip` viene aggiunto come IP principale aggiuntivo.
`cs6`	`principal.location.country_or_region`	Corrisponde direttamente al paese o alla regione della sede principale.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Se presente, viene analizzato come JSON per estrarre `sessionid`, `bits` (mappato a `sent_bytes`) e `version`.
`date_time`	`metadata.event_timestamp`	Mappa direttamente il timestamp dell'evento dopo l'analisi e la conversione nel formato corretto.
`dest_ip`	`target.ip`, `target.asset.ip`	Mappa direttamente l'IP di destinazione.
`dest_port`	`target.port`	Mappa direttamente la porta di destinazione.
`dhost`	`target.hostname`	Mappa direttamente il nome host di destinazione.
`dpt`	`target.port`	Mappa direttamente la porta di destinazione.
`dst`	`target.ip`	Mappa direttamente l'IP di destinazione.
`dvc`	`intermediary.ip`	Mappa direttamente l'IP dell'intermediario.
`dvchost`	`target.hostname`, `intermediary.hostname`	Mappa direttamente il nome host di destinazione e il nome host intermedio.
`errdefs_msgno`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `errdefs_msgno`.
`externalId`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `Support_Id`.
`f5_host`	`target.hostname`, `intermediary.hostname`	Mappa direttamente il nome host di destinazione e il nome host intermedio.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	Mappe del paese o della regione della sede principale. Aggiunto anche come campo di rilevamento con la chiave `geo_info`.
`host`	`target.hostname`	Mappa direttamente il nome host di destinazione.
`ids`	`additional.fields`	Analizzato come elenco separato da virgole di ID assistenza. Ogni ID viene aggiunto a un campo aggiuntivo con valori di elenco con la chiave `supportid`.
`ip_addr_intelli`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `ip_addr_intelli`.
`ip_client`	`principal.ip`	Mappa direttamente l'IP principale.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	La parte IP viene estratta e mappata all'IP principale.
`irule`	`security_result.rule_name`	Corrisponde direttamente al nome della regola dei risultati di sicurezza.
`irule-version`	`security_result.rule_version`	Mappatura diretta alla versione della regola dei risultati di sicurezza.
`level`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `error` o `warning` mappato su ALTO. `notice` corrisponde a MEDIO. `information` o `info` su BASSO. Il valore non elaborato viene mappato anche a `severity_details`.
`logtime`	`metadata.event_timestamp`	Mappato direttamente al timestamp dell'evento dopo l'analisi.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Mappa direttamente l'IP dell'intermediario.
`method`	`network.http.method`	Mappato direttamente al metodo HTTP.
`msg`	`security_result.summary`, `metadata.description`	Mappa direttamente il riepilogo dei risultati di sicurezza per alcuni formati di log. Se non è disponibile un'altra descrizione, questa diventa la descrizione dell'evento.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	Mappa direttamente il nome della risorsa del risultato di sicurezza o il nome della regola.
`process`	`target.application`	Mappato direttamente all'applicazione di destinazione.
`process_id`	`principal.process.pid`	Mappa direttamente l'ID processo principale.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	Corrisponde direttamente al protocollo applicativo o al protocollo IP a seconda del formato del log.
`proxy_id`	`security_result.rule_id`	Mappa direttamente l'ID regola del risultato di sicurezza.
`query_string`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `query_string`.
`referrer`	`network.http.referral_url`	Mappato direttamente all'URL referrer HTTP.
`req_method`	`network.http.method`	Mappato direttamente al metodo HTTP.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Se `blocked`, mappa `security_result.action` a BLOCK. Se `passed` o `legal`, mappali da CONSENTIRE. Se contiene `alerted`, viene mappato a QUARANTENA. Il valore non elaborato viene anche mappato a `action_details` e aggiunto come campo di rilevamento con la chiave `req_status`.
`request`	`target.url`	Mappa direttamente l'URL di destinazione.
`requestMethod`	`network.http.method`	Mappato direttamente al metodo HTTP.
`resp`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `resp`.
`resp_code`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`response`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`response_code`	`network.http.response_code`	Corrisponde direttamente al codice di risposta HTTP.
`route_domain`	`additional.fields`	Aggiunto come campo aggiuntivo con la chiave `route_domain`.
`rt`	`metadata.event_timestamp`	Mappato direttamente al timestamp dell'evento dopo l'analisi.
`sev`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `ERROR` corrisponde a ERROR. Il valore non elaborato viene mappato anche a `severity_details`.
`severity`	`security_result.severity`, `security_result.severity_details`	Utilizzato per determinare la gravità del risultato di sicurezza. `Informational` corrisponde a BASSA, `Error` o `warning` corrisponde ad ALTA, `critical` corrisponde a CRITICA, `notice` corrisponde a MEDIA, `information` o `info` corrisponde a BASSA. Il valore non elaborato viene mappato anche a `severity_details`.
`sig_ids`	`security_result.rule_id`	Mappa direttamente l'ID regola del risultato di sicurezza.
`sig_names`	`security_result.rule_name`	Corrisponde direttamente al nome della regola dei risultati di sicurezza.
`snat_ip`	`principal.nat_ip`	Mappa direttamente l'IP NAT principale.
`snat_port`	`principal.nat_port`	Mappa direttamente alla porta NAT principale.
`src`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.
`spt`	`principal.port`	Mappa direttamente la porta principale.
`sub_violates`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Sub Violations` agli attributi delle risorse dei risultati di sicurezza.
`sub_violations`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Sub Violations` agli attributi delle risorse dei risultati di sicurezza.
`summary`	`security_result.summary`	Mappa direttamente il riepilogo dei risultati di sicurezza.
`support_id`	`metadata.product_log_id`	Con prefisso `support_id -` e mappato all'ID log prodotto.
`suid`	`network.session_id`	Mappato direttamente all'ID sessione di rete.
`suser`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`timestamp`	`metadata.event_timestamp`	Mappa direttamente il timestamp dell'evento dopo l'analisi e la conversione nel formato corretto.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Mappa direttamente il nome host principale.
`uri`	`principal.url`	Mappato direttamente all'URL principale.
`user_id`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`user_name`	`principal.user.user_display_name`	Mappa direttamente il nome visualizzato dell'utente principale.
`username`	`principal.user.userid`	Mappato direttamente all'ID utente principale.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Mappatura diretta allo user agent HTTP. Analizzato e mappato anche allo user agent analizzato.
`virtualserver`	`network.tls.client.server_name`	Mappato direttamente al nome del server client TLS.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Contiene dati XML. `viol_name` all'interno di `request-violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Request Violation Name_index`. `viol_name` all'interno di `response_violations` viene estratto e aggiunto come campi di rilevamento con la chiave `Response Violation Name_index`. `response_code` in `response_violations` corrisponde a `network.http.response_code`.
`violate_rate`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `violate_rate`.
`violation_rating`	`security_result.about.resource.attribute.labels`	Aggiunta come etichetta con chiave `Violations Rating` agli attributi delle risorse dei risultati di sicurezza.
`violations`	`security_result.description`	Mappa direttamente la descrizione del risultato di sicurezza. Per i log in formato Splunk, viene utilizzato per determinare il riepilogo, se presente.
`virus_name`	`security_result.threat_name`	Mappato direttamente al nome della minaccia del risultato di sicurezza.
`vs_name`	`network.tls.client.server_name`	Mappato direttamente al nome del server client TLS.
`websocket_direction`	`network.direction`	Se `clientToServer`, viene mappato a INBOUND. Se `ServerToclient`, viene mappato a OUTBOUND.
`websocket_message_type`	`security_result.detection_fields`	Aggiunto come campo di rilevamento con la chiave `WebsocketMessageType`.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Mappa direttamente l'IP principale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.