F5 BIG-IP APM-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie F5 BIG-IP APM-Logs mit Bindplane in Google Security Operations aufnehmen.

F5 BIG-IP Access Policy Manager (APM) bietet sicheren, einheitlichen Zugriff auf Anwendungen, APIs und Daten. Sie bietet identitätsbasierte, kontextbezogene Zugriffssteuerung mit SSO-, Multi-Faktor-Authentifizierungs- und SSL-VPN-Funktionen für Unternehmensnetzwerke. Der Parser extrahiert Felder aus Syslog-Logs im F5 BIG-IP APM-Format. Die Log-Nachricht wird mit „grok“ und/oder „kv“ geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die F5 BIG-IP-Verwaltungsoberfläche

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'F5_BIGIP_APM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (F5_BIGIP_APM)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für F5 BIG-IP APM konfigurieren

  1. Melden Sie sich in der Weboberfläche von F5 BIG-IP (TMUI/Configuration Utility) an.
  2. Gehen Sie zu System > Protokolle > Konfiguration > Remote-Protokollierung.
  3. Geben Sie im Abschnitt Remote Logging (Remote-Protokollierung) die folgenden Konfigurationsdetails an:
    • Remote-IP: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Remoteport: Geben Sie 514 ein.
  4. Klicken Sie auf Hinzufügen.
  5. Klicken Sie auf Aktualisieren, um die Konfiguration zu speichern.

  6. So konfigurieren Sie die High-Speed-Protokollierung (HSL) für detaillierte APM-Logs über die Befehlszeile:

    1. Stellen Sie eine SSH-Verbindung zum F5 BIG-IP-System her.

    2. Führen Sie folgende Befehle aus:

      tmsh create ltm pool syslog_pool members add { BINDPLANE_IP:514 }
tmsh create sys log-config destination remote-high-speed-log secops_hsl pool-name syslog_pool protocol udp
tmsh create sys log-config destination remote-syslog secops_syslog remote-high-speed-log secops_hsl
tmsh create sys log-config publisher secops_publisher destinations add { secops_syslog }
tmsh save sys config
      • Ersetzen Sie BINDPLANE_IP durch die IP-Adresse des Bindplane-Agent-Hosts.

  7. Weisen Sie den Publisher dem APM-Zugriffsprofil zu:

    1. Rufen Sie Access > Profiles / Policies > Access Profiles (Zugriff > Profile / Richtlinien > Zugriffsprofile) auf.
    2. Wählen Sie das Zielzugriffsprofil aus.
    3. Wählen Sie auf dem Tab Log Settings (Protokolleinstellungen) den erstellten Verlag aus.
    4. Klicken Sie auf Aktualisieren.

  8. Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Anwendung principal.application Der Wert wird aus dem Anwendungsfeld übernommen, das vom Grok-Filter extrahiert wurde.
bytes_in network.received_bytes Der Wert wird aus dem Feld „bytes_in“ übernommen, das vom Grok-Filter extrahiert und in eine vorzeichenlose Ganzzahl konvertiert wird.
bytes_out network.sent_bytes Der Wert wird aus dem Feld „bytes_out“ übernommen, das vom Grok-Filter extrahiert und in eine vorzeichenlose Ganzzahl konvertiert wird.
cmd_data principal.process.command_line Der Wert stammt aus dem Feld „cmd_data“, das vom KV-Filter extrahiert wird.
destination_ip target.ip Der Wert wird aus dem Feld „destination_ip“ übernommen, das vom grok-Filter extrahiert wurde.
destination_port target.port Der Wert wird aus dem Feld „destination_port“ übernommen, das vom Grok-Filter extrahiert und in eine Ganzzahl konvertiert wird.
Ordner principal.process.file.full_path Der Wert wird aus dem Ordnerfeld übernommen, das vom KV-Filter extrahiert wurde.
geoCountry principal.location.country_or_region Der Wert stammt aus dem Feld „geoCountry“, das vom Grok-Filter extrahiert wurde.
geoState principal.location.state Der Wert stammt aus dem Feld „geoState“, das vom Grok-Filter extrahiert wurde.
inner_msg security_result.description Der Wert stammt aus dem Feld „inner_msg“, das vom Grok-Filter extrahiert wird, wenn keine andere spezifische Beschreibung verfügbar ist.
ip_protocol network.ip_protocol Der Wert stammt aus dem Feld „ip_protocol“, das vom Grok-Filter extrahiert wurde.
principal_hostname principal.hostname Der Wert wird aus dem Feld „principal_hostname“ übernommen, das vom Grok-Filter extrahiert wurde.
principal_ip principal.ip Der Wert wird aus dem Feld „principal_ip“ übernommen, das vom Grok-Filter extrahiert wird.
process_id principal.process.pid Der Wert stammt aus dem Feld „process_id“, das vom Grok-Filter extrahiert wurde.
Rolle user_role.name Der Wert wird aus dem Rollenfeld übernommen, das vom Grok-Filter extrahiert wurde. Wenn das Feld „role“ (Rolle) „admin“ (Administrator) enthält (Groß-/Kleinschreibung wird nicht berücksichtigt), wird der Wert auf „ADMINISTRATOR“ festgelegt.
die Ausprägung security_result.severity_details Hier wird der ursprüngliche Wert aus der Syslog-Nachricht gespeichert. Der Wert wird aus dem Feld „severity“ (Schweregrad) abgeleitet. Dabei wird folgende bedingte Logik verwendet: CRITICAL -> CRITICAL, ERR -> ERROR, ALERT, EMERGENCY -> HIGH, INFO, NOTICE -> INFORMATIONAL, DEBUG -> LOW, WARN -> MEDIUM.
source_ip principal.ip Der Wert stammt aus dem Feld „source_ip“, das vom Grok-Filter extrahiert wurde.
source_port principal.port Der Wert wird aus dem Feld „source_port“ übernommen, das vom Grok-Filter extrahiert und in eine Ganzzahl konvertiert wird.
Status security_result.summary Der Wert stammt aus dem Statusfeld, das vom KV-Filter extrahiert wurde.
timestamp metadata.event_timestamp, timestamp Der Wert wird aus dem Zeitstempelfeld übernommen, das vom Grok-Filter extrahiert und in ein Zeitstempelobjekt geparst wird. Das Zeitstempelfeld im Event-Objekt der obersten Ebene erhält ebenfalls diesen Wert.
Nutzer principal.user.userid Der Wert wird aus dem Nutzerfeld übernommen, das vom Grok-Filter extrahiert wurde, nachdem die Präfixe „id“ oder „ID“ entfernt wurden. Der Wert wird basierend auf dem Vorhandensein anderer Felder abgeleitet: , Wenn der Nutzer vorhanden ist: USER_UNCATEGORIZED , Wenn source_ip und destination_ip vorhanden sind: NETWORK_CONNECTION , Wenn principal_ip oder principal_hostname vorhanden sind: STATUS_UPDATE , Andernfalls: GENERIC_EVENT Hardcoded auf „BIGIP_APM“. Fest codiert auf „F5“. Wenn das Ergebnis „failed“ lautet, wird der Wert auf „BLOCK“ gesetzt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten