收集 F5 BIG-IP APM 記錄

本文說明如何使用 Bindplane，將 F5 BIG-IP APM 記錄擷取至 Google Security Operations。

F5 BIG-IP Access Policy Manager (APM) 可提供安全且統一的應用程式、API 和資料存取權。這項服務提供具備身分識別感知功能的脈絡式存取控管，並具備單一登入、多重驗證和 SSL VPN 功能，適用於企業網路。剖析器會從 F5 BIG-IP APM syslog 格式的記錄檔中擷取欄位。剖析器會使用 grok 和/或 kv 剖析記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
• 如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
• F5 BIG-IP 管理介面的特殊存取權

取得 Google SecOps 擷取驗證檔案

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「收集代理程式」。
3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「設定檔」。
3. 複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

1. 以管理員身分開啟「命令提示字元」或「PowerShell」。

2. 執行下列指令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安裝完成。

4. 執行下列指令來驗證安裝：

   sc query observiq-otel-collector
   

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

1. 開啟具有根層級或 sudo 權限的終端機。

2. 執行下列指令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安裝完成。

4. 執行下列指令來驗證安裝：

   sudo systemctl status observiq-otel-collector
   

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

編輯設定檔

• 將 config.yaml 的所有內容替換為下列設定：

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: 'YOUR_CUSTOMER_ID'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: 'F5_BIGIP_APM'
          raw_log_field: body
          ingestion_labels:
  
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - udplog
              exporters:
                  - chronicle/chronicle_w_labels
  

設定參數

• 替換下列預留位置：

  • 接收器設定：

    • udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
    • 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
    • 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)

  • 匯出工具設定：

    • creds_file_path：擷取驗證檔案的完整路徑：
      • Linux：/etc/bindplane-agent/ingestion-auth.json
      • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
    • endpoint：區域端點網址：
      • 美國：malachiteingestion-pa.googleapis.com
      • 歐洲：europe-malachiteingestion-pa.googleapis.com
      • 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
      • 如需完整清單，請參閱「區域端點」
    • log_type：記錄類型，與 Chronicle 中顯示的完全相同 (F5_BIGIP_APM)

儲存設定檔

• 編輯完成後，請儲存檔案：
  • Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
  • Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

• 如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

  sudo systemctl restart observiq-otel-collector
  

  1. 確認服務正在執行：

       sudo systemctl status observiq-otel-collector
     

  2. 檢查記錄中是否有錯誤：

       sudo journalctl -u observiq-otel-collector -f
     

• 如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：

  • 以管理員身分開啟命令提示字元或 PowerShell：

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 服務控制台：

    1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。

    3. 按一下滑鼠右鍵，然後選取「重新啟動」。

    4. 確認服務正在執行：

       sc query observiq-otel-collector
       

    5. 檢查記錄中是否有錯誤：

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

設定 F5 BIG-IP APM 系統記錄轉送

1. 登入 F5 BIG-IP 網頁介面 (TMUI/Configuration Utility)。
2. 依序前往「System」>「Logs」>「Configuration」>「Remote Logging」。
3. 在「遠端記錄」部分，提供下列設定詳細資料：
   • 遠端 IP：輸入 Bindplane 代理程式主機的 IP 位址。
   • 遠端通訊埠：輸入 514。
4. 按一下「新增」。
5. 按一下「更新」即可儲存設定。

6. 如要透過 CLI 設定高速記錄 (HSL)，取得詳細的 APM 記錄，請按照下列步驟操作：

   1. 透過 SSH 連線至 F5 BIG-IP 系統。

   2. 執行下列指令：

      tmsh create ltm pool syslog_pool members add { BINDPLANE_IP:514 }
      tmsh create sys log-config destination remote-high-speed-log secops_hsl pool-name syslog_pool protocol udp
      tmsh create sys log-config destination remote-syslog secops_syslog remote-high-speed-log secops_hsl
      tmsh create sys log-config publisher secops_publisher destinations add { secops_syslog }
      tmsh save sys config
      

      • 將 BINDPLANE_IP 替換為 Bindplane 代理程式主機的 IP 位址。

7. 將發布商指派給 APM 存取權設定檔：

   1. 依序前往「存取」>「設定檔 / 政策」>「存取設定檔」。
   2. 選取目標存取設定檔。
   3. 在「記錄設定」分頁中，選取已建立的發布商。
   4. 按一下「Update」。

8. 檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
調度應用程式資源	principal.application	這個值取自 grok 篩選器擷取的應用程式欄位。
bytes_in	network.received_bytes	這個值取自 grok 篩選器擷取的 bytes_in 欄位，並轉換為無正負號整數。
bytes_out	network.sent_bytes	這個值取自 grok 篩選器擷取的 bytes_out 欄位，並轉換為無正負號整數。
cmd_data	principal.process.command_line	這個值取自 kv 篩選器擷取的 cmd_data 欄位。
destination_ip	target.ip	這個值取自 grok 篩選器擷取的 destination_ip 欄位。
destination_port	target.port	這個值取自 grok 篩選器擷取的 destination_port 欄位，並轉換為整數。
資料夾	principal.process.file.full_path	這個值取自 kv 篩選器擷取的資料夾欄位。
geoCountry	principal.location.country_or_region	這個值取自 grok 篩選器擷取的 geoCountry 欄位。
geoState	principal.location.state	這個值取自 grok 篩選器擷取的 geoState 欄位。
inner_msg	security_result.description	如果沒有其他特定說明，系統會從 grok 篩選器擷取的 inner_msg 欄位中取得值。
ip_protocol	network.ip_protocol	這個值取自 grok 篩選器擷取的 ip_protocol 欄位。
principal_hostname	principal.hostname	這個值取自 grok 篩選器擷取的 principal_hostname 欄位。
principal_ip	principal.ip	這個值取自 grok 篩選器擷取的 principal_ip 欄位。
process_id	principal.process.pid	這個值取自 grok 篩選器擷取的 process_id 欄位。
角色	user_role.name	這個值取自 grok 篩選器擷取的角色欄位。如果角色欄位包含「admin」(不區分大小寫)，值會設為「ADMINISTRATOR」。
嚴重性	security_result.severity_details	系統會在這裡儲存 Syslog 訊息的原始值。這個值是使用條件式邏輯，從嚴重程度欄位衍生而來：, CRITICAL -> CRITICAL , ERR -> ERROR , ALERT, EMERGENCY -> HIGH , INFO, NOTICE -> INFORMATIONAL , DEBUG -> LOW , WARN -> MEDIUM
source_ip	principal.ip	這個值取自 grok 篩選器擷取的 source_ip 欄位。
source_port	principal.port	這個值取自 grok 篩選器擷取的 source_port 欄位，並轉換為整數。
狀態	security_result.summary	這個值取自 kv 篩選器擷取的狀態欄位。
時間戳記	metadata.event_timestamp、timestamp	這個值取自 grok 篩選器擷取的時間戳記欄位，並剖析為時間戳記物件。頂層事件物件中的時間戳記欄位也會取得這個值。
使用者	principal.user.userid	系統會先移除「id」或「ID」前置字元，再從 grok 篩選器擷取的使用者欄位中取得值。值是根據其他欄位是否存在而衍生：，如果使用者存在：USER_UNCATEGORIZED，如果 source_ip 和 destination_ip 存在：NETWORK_CONNECTION，如果 principal_ip 或 principal_hostname 存在：STATUS_UPDATE，否則：GENERIC_EVENT。硬式編碼為「BIGIP_APM」。硬式編碼為「F5」。如果結果欄位為「failed」，值會設為「BLOCK」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。