Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

F5 Networks BIG-IP ASM

JSA F5 Networks BIG-IP Application Security Manager (ASM) DSM recopila eventos de seguridad de aplicaciones web de dispositivos BIG-IP ASM mediante syslog.

Para reenviar eventos syslog desde un dispositivo ASM BIG-IP de F5 Networks a JSA, debe configurar un perfil de registro.

Se puede usar un perfil de registro para configurar el almacenamiento remoto para eventos syslog, que se pueden reenviar directamente a JSA.

  1. Inicie sesión en la interfaz de usuario del dispositivo BIG-IP ASM de F5 Networks.

  2. En el panel de navegación , seleccione Seguridad de la aplicación >Opciones.

  3. Haga clic en Perfiles de registro.

  4. Haga clic en Crear.

  5. En la lista Configuración , seleccione Opciones avanzadas.

  6. Escriba un nombre descriptivo para la propiedad Nombre de perfil .

  7. Escriba una descripción de perfil.

    Si no desea que los datos se registren de forma local y remota, desactive la casilla Almacenamiento local .

  8. Active la casilla Almacenamiento remoto .

  9. En la lista Tipo , seleccione una de las siguientes opciones:

    • En BIG-IP ASM V12.1.2 o anterior, seleccione Servidor de informes.

    • En BIG-IP ASM V13.0.0 o posterior, seleccione pares clave-valor.

  10. En la lista Protocolo, seleccione TCP.

  11. En el campo Dirección IP , escriba la dirección IP de la consola JSA y, en el campo Puerto , escriba un valor de puerto de 514.

  12. Active la casilla Registro de garantía .

    Nota:

    Habilitar la opción Registro de garantía garantiza que las solicitudes de registro del sistema continúen para la aplicación web cuando la utilidad de registro compita por los recursos del sistema. Habilitar la opción Registro de garantía puede ralentizar el acceso a la aplicación web asociada.

  13. Active la casilla Informar de anomalías detectadas para permitir que el sistema registre los detalles.

  14. Haga clic en Crear.

    La pantalla se actualiza con el nuevo perfil de registro. El origen del registro se agrega a JSA a medida que se detectan automáticamente los eventos ASM de BIG-IP de F5 Networks. Los eventos reenviados por F5 Networks BIG-IP ASM se muestran en la pestaña Actividad de registro de JSA.

Parámetros de origen de registro de Syslog para redes F5 BIG-IP ASM

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro ASM BIG-IP de F5 Networks en la consola de JSA mediante el protocolo syslog.

Cuando se utiliza el protocolo syslog, hay parámetros específicos que debe utilizar.

En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos syslog de ASM BIG-IP de F5 Networks:

Tabla 1: Parámetros de origen de registro de Syslog para el DSM de ASM big-IP de F5 Networks

Parámetro

Valor

Tipo de origen de registro

F5 Networks BIG-IP ASM

Configuración del protocolo

Syslog

Identificador de origen de registro

Escriba la dirección IP o el nombre de host del origen del registro como identificador de eventos de sus dispositivos ASM BIG-IP de F5 Networks.

Mensaje de evento de ejemplo de ASM de BIG-IP de F5 Networks

Utilice este mensaje de evento de ejemplo para comprobar que la integración con JSA se ha realizado correctamente.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los retornos de carro o los caracteres de avance de línea.

Mensaje de ejemplo de BIG-IP ASM de F5 Networks cuando se utiliza el protocolo syslog

El siguiente mensaje de evento de ejemplo muestra un evento de ataque distribuido.

<134>Jul 25 11:47:52 f5networks.asm.test ASM:software_version="14.1.0",current_mitigation= "alarm",unit_hostname="f5networks.asm.test",management_ip_address="10.192.138.11",management_ip_ad dres s_2="",operation_mode="Transparent",date_time="2019-07-25 11:41:38",policy_apply_date="2019-07-23 15:2 4:21",policy_name="/Common/extranet_sonstige",vs_name="/Common/extranett. qradar.example.test_443",ano maly_attack_type="Distributed Attack",uri="/ qradar.example.test",attack_status="ongoing",detection_mod e="Number of Failed Logins Increased",severity="Emergency",mitigated_entity_name="username",mitigated_ entity_value="exnyjtgk",mitigated_ipaddr_geo="N/ A",attack_id="2508639270",mitigated_entity_failed_logi ns="0",mitigated_entity_failed_logins_threshold="3",mitigated_entity_total_mitigations="0",mitigat ed_e ntity_passed_challenges="0",mitigated_entity_passed_captchas="0",mitigated_entity_rejected_logins= "0", leaked_username_login_attempts="0",leaked_username_failed_logins="0",leaked_username_time_of_last_ logi n_attempt="2497667872",normal_failed_logins="78",detected_failed_logins="70",failed_logins_thresho ld=" 100",normal_login_attempts="91",detected_login_attempts="78",login_attempts_matching_leaked_creden tial s="0",total_mitigated_login_attempts="60",total_client_side_integrity_challenges="0",total_captcha _cha llenges="0",total_blocking_page_challenges="0",total_passed_client_side_integrity_challenges="0",t otal _passed_captcha_challenges="0",total_drops="0",total_successful_mitigations="0",protocol="HTTPS",l ogin _attempts_matching_leaked_credentials_threshold="100",login_stress="73"