Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de VPN de F5

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de VPN de F5 a Google Security Operations con el agente de Bindplane.

F5 BIG-IP Access Policy Manager (APM) es una solución de VPN y administración de acceso que genera mensajes de syslog para la autenticación de usuarios, la administración de sesiones, la evaluación de políticas, el establecimiento de túneles y los eventos de acceso a la red. El analizador extrae campos de los registros con formato syslog y los asigna al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el dispositivo BIG-IP de F5
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a tmsh de F5 BIG-IP (versión 11.x o posterior)

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debe mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/f5_vpn:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: F5_VPN
        raw_log_field: body

service:
    pipelines:
        logs/f5_vpn_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/f5_vpn

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- listen_address: Dirección IP y puerto para escuchar:
  - 0.0.0.0 para escuchar en todas las interfaces (recomendado)
  - El puerto 514 es el puerto estándar de syslog (requiere acceso raíz en Linux; usa 1514 para acceso no raíz).
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado de la consola de Google SecOps
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de Syslog en APM de F5 BIG-IP

Conéctate a la línea de comandos de F5 BIG-IP.
Abre la shell tmsh:
```
tmsh
```
Ejecuta el siguiente comando para configurar un servidor syslog remoto:
```
modify sys syslog remote-servers add { <Name> { host <bindplane-ip> remote-port <bindplane-port> } }
```
Reemplaza lo siguiente:
- <Name>: Es un nombre único para este destino de syslog (por ejemplo, bindplane_server).
- <bindplane-ip>: Es la dirección IP del host del agente de Bindplane.
- <bindplane-port>: Es el puerto configurado en el receptor del agente de BindPlane (predeterminado: 514).
Guarda la configuración:
```
save sys config partitions all
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`cmd_data`	`principal.process.command_line`	El valor se extrae del campo msg.
`errdefs_msgno`	`additional.fields.errdefs_msgno.string_value`	El valor se extrae del campo msg.
`event_time`	`metadata.event_timestamp`	El valor se analiza y se convierte en una marca de tiempo.
`hostname`	`principal.hostname,`, `observer.hostname,`, `principal.asset.hostname,`, `observer.asset.hostname,`	El valor se extrae del campo de mensaje y se usa para completar los campos de nombre de host en el UDM. También se usa para propagar el campo hostip.
`msg`	`security_result.description`	El valor se extrae del campo de mensaje y se usa para completar el campo de descripción en el objeto security_result.
`prin_ip`	`principal.ip,`, `principal.asset.ip`	El valor se extrae del campo de mensaje y se usa para completar los campos de dirección IP en el UDM.
	`additional.fields.Canonical_Info.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.IDP.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.Plugin_Support.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.SMB`, `Stage.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.SP.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.Timezone.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.Tunnel`, `Type.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.UI_Mode.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.Version.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.from_rule_item.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.policy_result.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.ppp_id.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.resource.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.rule.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.server_vip_ip.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.server_vip_name.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.to_rule_item.string_value`	El valor se deriva del mensaje de registro.
	`additional.fields.tunnel_resource.string_value`	El valor se deriva del mensaje de registro.
	`metadata.description`	El valor se deriva del mensaje de registro.
	`metadata.event_type`	El valor está codificado en el código del analizador para algunos eventos y se deriva del mensaje de registro para otros.
	`metadata.log_type`	El valor se establece en el tipo de lote.
	`metadata.product_event_type`	El valor se deriva del mensaje de registro.
	`metadata.product_name`	El valor está codificado en el código del analizador.
	`metadata.vendor_name`	El valor está codificado en el código del analizador.
	`network.application_protocol`	El valor se deriva del mensaje de registro.
	`network.direction`	El valor se deriva del mensaje de registro.
	`network.http.method`	El valor se deriva del mensaje de registro.
	`network.http.parsed_user_agent`	El valor se deriva del campo network.http.user_agent.
	`network.http.referral_url`	El valor se deriva del mensaje de registro.
	`network.http.response_code`	El valor se deriva del mensaje de registro.
	`network.http.user_agent`	El valor se deriva del mensaje de registro.
	`network.ip_protocol`	El valor se deriva del mensaje de registro.
	`network.received_bytes`	El valor se deriva del mensaje de registro.
	`network.sent_bytes`	El valor se deriva del mensaje de registro.
	`network.session_id`	El valor se deriva del mensaje de registro.
	`network.tls.cipher`	El valor se deriva del mensaje de registro.
	`network.tls.version`	El valor se deriva del mensaje de registro.
	`observer.asset.hostname`	El valor se establece en el campo de nombre de host.
	`observer.asset.ip`	El valor se establece en el campo hostip.
	`observer.hostname`	El valor se establece en el campo de nombre de host.
	`observer.ip`	El valor se establece en el campo hostip.
	`principal.application`	El valor se deriva del mensaje de registro.
	`principal.asset.hostname`	El valor se establece en el campo de nombre de host.
	`principal.asset.ip`	El valor se establece en el campo hostip o prin_ip si existe.
	`principal.asset.product_object_id`	El valor se deriva del mensaje de registro.
	`principal.hostname`	El valor se establece en el campo de nombre de host.
	`principal.ip`	El valor se establece en el campo hostip o prin_ip si existe.
	`principal.location.country_or_region`	El valor se deriva del mensaje de registro.
	`principal.platform`	El valor se deriva del mensaje de registro.
	`principal.port`	El valor se deriva del mensaje de registro.
	`principal.process.command_line`	El valor se deriva del mensaje de registro.
	`principal.process.pid`	El valor se deriva del mensaje de registro.
	`principal.resource.name`	El valor se deriva del mensaje de registro.
	`principal.resource.type`	El valor está codificado en el código del analizador para algunos eventos y se deriva del mensaje de registro para otros.
	`principal.user.email_addresses`	El valor se deriva del mensaje de registro.
	`principal.user.userid`	El valor se deriva del mensaje de registro.
	`security_result.action`	El valor se deriva del mensaje de registro.
	`security_result.description`	El valor se deriva del mensaje de registro.
	`security_result.rule_name`	El valor se deriva del mensaje de registro.
	`security_result.severity`	El valor se deriva del mensaje de registro.
	`security_result.severity_details`	El valor se deriva del mensaje de registro.
	`security_result.summary`	El valor se deriva del mensaje de registro.
	`src.ip`	El valor se deriva del mensaje de registro.
	`src.location.country_or_region`	El valor se deriva del mensaje de registro.
	`src.port`	El valor se deriva del mensaje de registro.
	`target.asset.hostname`	El valor se deriva del mensaje de registro.
	`target.asset.ip`	El valor se deriva del mensaje de registro.
	`target.hostname`	El valor se deriva del mensaje de registro.
	`target.ip`	El valor se deriva del mensaje de registro.
	`target.port`	El valor se deriva del mensaje de registro.
	`target.process.command_line`	El valor se deriva del mensaje de registro.
	`target.process.pid`	El valor se deriva del mensaje de registro.
	`target.resource.id`	El valor se deriva del mensaje de registro.
	`target.url`	El valor se deriva del mensaje de registro.
	`target.user.userid`	El valor se deriva del mensaje de registro.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.