Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log VPN F5

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log VPN F5 in Google Security Operations utilizzando l'agente Bindplane.

F5 BIG-IP Access Policy Manager (APM) è una soluzione VPN e di gestione dell'accesso che genera messaggi syslog per l'autenticazione degli utenti, la gestione delle sessioni, la valutazione delle policy, la creazione di tunnel e gli eventi di accesso alla rete. Il parser estrae i campi dai log formattati in syslog e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'appliance F5 BIG-IP
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi a F5 BIG-IP tmsh (versione 11.x o successive)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/f5_vpn:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: F5_VPN
        raw_log_field: body

service:
    pipelines:
        logs/f5_vpn_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/f5_vpn

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'inoltro di syslog su F5 BIG-IP APM

Connettiti alla riga di comando F5 BIG-IP.
Apri la shell tmsh:
```
tmsh
```
Configura un server Syslog remoto eseguendo questo comando:
```
modify sys syslog remote-servers add { <Name> { host <bindplane-ip> remote-port <bindplane-port> } }
```
Sostituisci quanto segue:
- <Name>: un nome univoco per questa destinazione syslog (ad esempio bindplane_server).
- <bindplane-ip>: l'indirizzo IP dell'host dell'agente Bindplane.
- <bindplane-port>: la porta configurata nel ricevitore dell'agente Bindplane (impostazione predefinita: 514).
Salva la configurazione:
```
save sys config partitions all
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`cmd_data`	`principal.process.command_line`	Il valore viene estratto dal campo msg
`errdefs_msgno`	`additional.fields.errdefs_msgno.string_value`	Il valore viene estratto dal campo msg
`event_time`	`metadata.event_timestamp`	Il valore viene analizzato e convertito in un timestamp
`hostname`	`principal.hostname,`, `observer.hostname,`, `principal.asset.hostname,`, `observer.asset.hostname,`	Il valore viene estratto dal campo del messaggio e utilizzato per compilare i campi del nome host nell'UDM. Utilizzato anche per compilare il campo hostip
`msg`	`security_result.description`	Il valore viene estratto dal campo del messaggio e utilizzato per compilare il campo della descrizione nell'oggetto security_result
`prin_ip`	`principal.ip,`, `principal.asset.ip`	Il valore viene estratto dal campo del messaggio e utilizzato per compilare i campi dell'indirizzo IP nell'UDM
	`additional.fields.Canonical_Info.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.IDP.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.Plugin_Support.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.SMB`, `Stage.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.SP.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.Timezone.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.Tunnel`, `Type.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.UI_Mode.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.Version.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.from_rule_item.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.policy_result.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.ppp_id.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.resource.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.rule.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.server_vip_ip.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.server_vip_name.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.to_rule_item.string_value`	Il valore è derivato dal messaggio di log
	`additional.fields.tunnel_resource.string_value`	Il valore è derivato dal messaggio di log
	`metadata.description`	Il valore è derivato dal messaggio di log
	`metadata.event_type`	Il valore è codificato nel codice del parser per alcuni eventi e viene derivato dal messaggio di log per altri
	`metadata.log_type`	Il valore è impostato sul tipo di batch
	`metadata.product_event_type`	Il valore è derivato dal messaggio di log
	`metadata.product_name`	Il valore è hardcoded nel codice del parser
	`metadata.vendor_name`	Il valore è hardcoded nel codice del parser
	`network.application_protocol`	Il valore è derivato dal messaggio di log
	`network.direction`	Il valore è derivato dal messaggio di log
	`network.http.method`	Il valore è derivato dal messaggio di log
	`network.http.parsed_user_agent`	Il valore è derivato dal campo network.http.user_agent
	`network.http.referral_url`	Il valore è derivato dal messaggio di log
	`network.http.response_code`	Il valore è derivato dal messaggio di log
	`network.http.user_agent`	Il valore è derivato dal messaggio di log
	`network.ip_protocol`	Il valore è derivato dal messaggio di log
	`network.received_bytes`	Il valore è derivato dal messaggio di log
	`network.sent_bytes`	Il valore è derivato dal messaggio di log
	`network.session_id`	Il valore è derivato dal messaggio di log
	`network.tls.cipher`	Il valore è derivato dal messaggio di log
	`network.tls.version`	Il valore è derivato dal messaggio di log
	`observer.asset.hostname`	Il valore è impostato sul campo del nome host
	`observer.asset.ip`	Il valore è impostato sul campo hostip
	`observer.hostname`	Il valore è impostato sul campo del nome host
	`observer.ip`	Il valore è impostato sul campo hostip
	`principal.application`	Il valore è derivato dal messaggio di log
	`principal.asset.hostname`	Il valore è impostato sul campo del nome host
	`principal.asset.ip`	Il valore è impostato sul campo hostip o prin_ip, se esistente
	`principal.asset.product_object_id`	Il valore è derivato dal messaggio di log
	`principal.hostname`	Il valore è impostato sul campo del nome host
	`principal.ip`	Il valore è impostato sul campo hostip o prin_ip, se esistente
	`principal.location.country_or_region`	Il valore è derivato dal messaggio di log
	`principal.platform`	Il valore è derivato dal messaggio di log
	`principal.port`	Il valore è derivato dal messaggio di log
	`principal.process.command_line`	Il valore è derivato dal messaggio di log
	`principal.process.pid`	Il valore è derivato dal messaggio di log
	`principal.resource.name`	Il valore è derivato dal messaggio di log
	`principal.resource.type`	Il valore è codificato nel codice del parser per alcuni eventi e viene derivato dal messaggio di log per altri
	`principal.user.email_addresses`	Il valore è derivato dal messaggio di log
	`principal.user.userid`	Il valore è derivato dal messaggio di log
	`security_result.action`	Il valore è derivato dal messaggio di log
	`security_result.description`	Il valore è derivato dal messaggio di log
	`security_result.rule_name`	Il valore è derivato dal messaggio di log
	`security_result.severity`	Il valore è derivato dal messaggio di log
	`security_result.severity_details`	Il valore è derivato dal messaggio di log
	`security_result.summary`	Il valore è derivato dal messaggio di log
	`src.ip`	Il valore è derivato dal messaggio di log
	`src.location.country_or_region`	Il valore è derivato dal messaggio di log
	`src.port`	Il valore è derivato dal messaggio di log
	`target.asset.hostname`	Il valore è derivato dal messaggio di log
	`target.asset.ip`	Il valore è derivato dal messaggio di log
	`target.hostname`	Il valore è derivato dal messaggio di log
	`target.ip`	Il valore è derivato dal messaggio di log
	`target.port`	Il valore è derivato dal messaggio di log
	`target.process.command_line`	Il valore è derivato dal messaggio di log
	`target.process.pid`	Il valore è derivato dal messaggio di log
	`target.resource.id`	Il valore è derivato dal messaggio di log
	`target.url`	Il valore è derivato dal messaggio di log
	`target.user.userid`	Il valore è derivato dal messaggio di log

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.