Collecter les journaux F5 BIG-IP APM

Compatible avec :

Ce document explique comment ingérer des journaux F5 BIG-IP APM dans Google Security Operations à l'aide de Bindplane.

F5 BIG-IP Access Policy Manager (APM) offre un accès sécurisé et unifié aux applications, aux API et aux données. Il offre un contrôle des accès contextuel basé sur l'identité avec des fonctionnalités d'authentification unique, d'authentification multifacteur et de VPN SSL pour les réseaux d'entreprise. L'analyseur extrait les champs des journaux au format syslog F5 BIG-IP APM. Il utilise grok et/ou kv pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à l'interface de gestion F5 BIG-IP

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'F5_BIGIP_APM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • udplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
      • 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
      • 514 : numéro de port à écouter (port syslog standard)

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
      • log_type : type de journal tel qu'il apparaît dans Chronicle (F5_BIGIP_APM)

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog F5-BIG-IP APM

  1. Connectez-vous à l'interface Web F5 BIG-IP (TMUI/Configuration Utility).
  2. Accédez à Système > Journaux > Configuration > Journalisation à distance.
  3. Dans la section Journalisation à distance, fournissez les informations de configuration suivantes :
    • Adresse IP distante : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
    • Port distant : saisissez 514.
  4. Cliquez sur Ajouter.
  5. Cliquez sur Mettre à jour pour enregistrer la configuration.

  6. Pour configurer la journalisation à haute vitesse (HSL) pour les journaux APM détaillés via la CLI :

    1. Connectez-vous en SSH au système F5 BIG-IP.

    2. Exécutez les commandes suivantes :

      tmsh create ltm pool syslog_pool members add { BINDPLANE_IP:514 }
tmsh create sys log-config destination remote-high-speed-log secops_hsl pool-name syslog_pool protocol udp
tmsh create sys log-config destination remote-syslog secops_syslog remote-high-speed-log secops_hsl
tmsh create sys log-config publisher secops_publisher destinations add { secops_syslog }
tmsh save sys config
      • Remplacez BINDPLANE_IP par l'adresse IP de l'hôte de l'agent Bindplane.

  7. Attribuez l'éditeur au profil d'accès APM :

    1. Accédez à Access > Profiles/Policies > Access Profiles (Accès > Profils/Règles > Profils d'accès).
    2. Sélectionnez le profil d'accès cible.
    3. Dans l'onglet Paramètres du journal, sélectionnez l'éditeur créé.
    4. Cliquez sur Mettre à jour.

  8. Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal Mappage UDM Logique
application principal.application La valeur est extraite du champ d'application par le filtre grok.
bytes_in network.received_bytes La valeur est extraite du champ "bytes_in" par le filtre grok et convertie en entier non signé.
bytes_out network.sent_bytes La valeur est extraite du champ "bytes_out" par le filtre grok et convertie en entier non signé.
cmd_data principal.process.command_line La valeur est extraite du champ cmd_data par le filtre kv.
destination_ip target.ip La valeur est extraite du champ "destination_ip" par le filtre grok.
destination_port target.port La valeur est extraite du champ "destination_port" par le filtre grok et convertie en entier.
dossier principal.process.file.full_path La valeur est extraite du champ "folder" par le filtre kv.
geoCountry principal.location.country_or_region La valeur est extraite du champ "geoCountry" par le filtre grok.
geoState principal.location.state La valeur est extraite du champ "geoState" par le filtre grok.
inner_msg security_result.description La valeur est extraite du champ "inner_msg" par le filtre grok lorsqu'aucune autre description spécifique n'est disponible.
ip_protocol network.ip_protocol La valeur est extraite du champ "ip_protocol" par le filtre grok.
principal_hostname principal.hostname La valeur est extraite du champ principal_hostname par le filtre grok.
principal_ip principal.ip La valeur est extraite du champ principal_ip par le filtre grok.
process_id principal.process.pid La valeur est extraite du champ "process_id" par le filtre grok.
rôle user_role.name La valeur est extraite du champ de rôle par le filtre grok. Si le champ de rôle contient "admin" (sans tenir compte de la casse), la valeur est définie sur "ADMINISTRATEUR".
de gravité, security_result.severity_details La valeur d'origine du message syslog est stockée ici. La valeur est dérivée du champ "severity" (gravité) à l'aide d'une logique conditionnelle : CRITICAL -> CRITICAL, ERR -> ERROR, ALERT, EMERGENCY -> HIGH, INFO, NOTICE -> INFORMATIONAL, DEBUG -> LOW, WARN -> MEDIUM.
source_ip principal.ip La valeur est extraite du champ source_ip par le filtre grok.
source_port principal.port La valeur est extraite du champ "source_port" par le filtre grok et convertie en entier.
état security_result.summary La valeur est extraite du champ d'état par le filtre kv.
timestamp metadata.event_timestamp, timestamp La valeur est extraite du champ d'horodatage par le filtre grok et analysée dans un objet d'horodatage. Le champ d'horodatage de l'objet événement de premier niveau reçoit également cette valeur.
utilisateur principal.user.userid La valeur est extraite du champ utilisateur par le filtre grok, après suppression des préfixes "id" ou "ID". La valeur est dérivée en fonction de la présence d'autres champs : , Si l'utilisateur existe : USER_UNCATEGORIZED , Si source_ip et destination_ip existent : NETWORK_CONNECTION , Si principal_ip ou principal_hostname existent : STATUS_UPDATE , Sinon : GENERIC_EVENT Codé en dur sur "BIGIP_APM". Codé en dur sur "F5". Si le champ de résultat est "failed" (échec), la valeur est définie sur "BLOCK" (BLOQUER).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.