Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

F5 Networks BIG-IP ASM

Le DSM JSA F5 Networks BIG-IP Application Security Manager (ASM) collecte les événements de sécurité des applications Web des appliances BIG-IP ASM à l’aide de syslog.

Pour transférer des événements syslog d’une appliance BIG-IP ASM F5 Networks vers JSA, vous devez configurer un profil de journalisation.

Un profil de journalisation peut être utilisé pour configurer le stockage distant pour les événements syslog, qui peuvent être transmis directement à JSA.

  1. Connectez-vous à l’interface utilisateur de l’appliance BIG-IP ASM de F5 Networks.

  2. Dans le volet de navigation , sélectionnez Sécurité des applications >Options.

  3. Cliquez sur Profils de journalisation.

  4. Cliquez sur Créer.

  5. Dans la liste Configuration , sélectionnez Avancé.

  6. Saisissez un nom descriptif pour la propriété Nom du profil .

  7. Saisissez une description de profil.

    Si vous ne souhaitez pas que les données soient enregistrées à la fois localement et à distance, décochez la case Stockage local .

  8. Cochez la case Stockage distant .

  9. Dans la liste Type , sélectionnez l’une des options suivantes :

    • Dans BIG-IP ASM V12.1.2 ou version antérieure, sélectionnez Serveur de rapports.

    • Dans BIG-IP ASM V13.0.0 ou version ultérieure, sélectionnez des paires clé-valeur.

  10. Dans la liste Protocole , sélectionnez TCP.

  11. Pour le champ Adresse IP, tapez l’adresse IP de la console JSA et pour le champ Port, saisissez la valeur de port .514

  12. Cochez la case Journalisation des garanties .

    Note:

    L’activation de l’option Journalisation de garantie garantit que les demandes de journal système se poursuivent pour l’application Web lorsque l’utilitaire de journalisation est en concurrence pour les ressources système. L’activation de l’option Journalisation des garanties peut ralentir l’accès à l’application Web associée.

  13. Cochez la case Signaler les anomalies détectées pour permettre au système d’enregistrer les détails.

  14. Cliquez sur Créer.

    L’écran s’actualise avec le nouveau profil de journalisation. La source du journal est ajoutée à JSA au fur et à mesure que les événements BIG-IP ASM F5 Networks sont automatiquement découverts. Les événements transférés par F5 Networks BIG-IP ASM sont affichés dans l’onglet Activité du journal de JSA.

Paramètres source du journal Syslog pour les réseaux F5 BIG-IP ASM

Si JSA ne détecte pas automatiquement la source du journal, ajoutez une source de journal F5 Networks BIG-IP ASM sur la console JSA à l’aide du protocole syslog.

Lors de l’utilisation du protocole syslog, il y a des paramètres spécifiques que vous devez utiliser.

Le tableau suivant décrit les paramètres qui nécessitent des valeurs spécifiques pour collecter les événements syslog à partir de F5 Networks BIG-IP ASM :

Tableau 1 : Paramètres de source du journal Syslog pour le DSM BIG-IP ASM des réseaux F5

Paramètre

Valeur

Type de source du journal

F5 Networks BIG-IP ASM

Configuration du protocole

Syslog

Identificateur de la source du journal

Saisissez l’adresse IP ou le nom d’hôte de la source du journal en tant qu’identifiant pour les événements de vos périphériques BIG-IP ASM F5 Networks.

F5 Networks BIG-IP ASM Exemple de message d’événement

Utilisez cet exemple de message d’événement pour vérifier que l’intégration avec JSA a réussi.

Note:

En raison de problèmes de mise en forme, collez le format du message dans un éditeur de texte, puis supprimez tous les retours chariot ou les caractères de saut de ligne.

F5 Networks Exemple de message BIG-IP ASM lorsque vous utilisez le protocole syslog

L’exemple de message d’événement suivant montre un événement d’attaque distribuée.

<134>Jul 25 11:47:52 f5networks.asm.test ASM:software_version="14.1.0",current_mitigation= "alarm",unit_hostname="f5networks.asm.test",management_ip_address="10.192.138.11",management_ip_ad dres s_2="",operation_mode="Transparent",date_time="2019-07-25 11:41:38",policy_apply_date="2019-07-23 15:2 4:21",policy_name="/Common/extranet_sonstige",vs_name="/Common/extranett. qradar.example.test_443",ano maly_attack_type="Distributed Attack",uri="/ qradar.example.test",attack_status="ongoing",detection_mod e="Number of Failed Logins Increased",severity="Emergency",mitigated_entity_name="username",mitigated_ entity_value="exnyjtgk",mitigated_ipaddr_geo="N/ A",attack_id="2508639270",mitigated_entity_failed_logi ns="0",mitigated_entity_failed_logins_threshold="3",mitigated_entity_total_mitigations="0",mitigat ed_e ntity_passed_challenges="0",mitigated_entity_passed_captchas="0",mitigated_entity_rejected_logins= "0", leaked_username_login_attempts="0",leaked_username_failed_logins="0",leaked_username_time_of_last_ logi n_attempt="2497667872",normal_failed_logins="78",detected_failed_logins="70",failed_logins_thresho ld=" 100",normal_login_attempts="91",detected_login_attempts="78",login_attempts_matching_leaked_creden tial s="0",total_mitigated_login_attempts="60",total_client_side_integrity_challenges="0",total_captcha _cha llenges="0",total_blocking_page_challenges="0",total_passed_client_side_integrity_challenges="0",t otal _passed_captcha_challenges="0",total_drops="0",total_successful_mitigations="0",protocol="HTTPS",l ogin _attempts_matching_leaked_credentials_threshold="100",login_stress="73"