F5 Networks BIG-IP AFM
El DSM para JSA de F5 Networks BIG-IP Advanced Firewall Manager (AFM) acepta eventos syslog que se reenvían desde los sistemas BIG-IP AFM de F5 Networks en formato de par nombre-valor.
JSA puede recopilar los siguientes eventos de dispositivos BIG-IP de F5 con Advanced Firewall Managers:
Eventos de red
Eventos de denegación de servicio (DoS) de red
Eventos de seguridad de protocolo
Eventos DNS
Eventos de denegación de servicio (DoS) de DNS
Antes de poder configurar Advanced Firewall Manager, debe verificar que el dispositivo BIG-IP tenga licencia y esté aprovisionado para incluir Advanced Firewall Manager.
Inicie sesión en la interfaz de administración del dispositivo BIG-IP.
En el menú de navegación, seleccione Sistema >Licencia.
En la columna Estado de la licencia, compruebe que Advanced Firewall Manager tiene licencia y está habilitado.
Para habilitar el Administrador de firewall avanzado, seleccione Aprovisionamiento del > de recursos > del sistema.
En la columna Aprovisionamiento , active la casilla y seleccione Nominal en la lista.
Haga clic en Enviar para guardar los cambios.
Configuración de un grupo de registros
Un grupo de registro se utiliza para definir un grupo de servidores que reciben eventos syslog. El grupo contiene la dirección IP, el puerto y un nombre de nodo que proporcione.
En el menú de navegación, seleccione Tráfico local >Grupos.
Haga clic en Crear.
En el campo Nombre , escriba un nombre para el grupo de registros.
Por ejemplo, Logging_Pool.
En el campo Monitor de estado , en la lista Disponible , seleccione TCP y haga clic en <<.
Esta acción de clic mueve la opción TCP de la lista Disponibles a la lista Seleccionados.
En el panel Recurso , en la lista Nombre de nodo , seleccione Logging_Node o el nombre que definió en el paso 3.
En el campo Dirección , escriba la dirección IP de la consola JSA o del recopilador de eventos.
En el campo Puerto de servicio , escriba 514.
Haga clic en Agregar.
Haga clic en Finalizar.
Creación de un destino de registro de alta velocidad
El proceso para configurar el registro para BIG-IP AFM requiere que cree un destino de registro de alta velocidad.
En el menú de navegación, seleccione System >Logs >Configuration >Log Destinations.
Haga clic en Crear.
En el campo Nombre , escriba un nombre para el destino.
Por ejemplo, Logging_HSL_dest.
En el campo Descripción , escriba una descripción.
En la lista Tipo , seleccione Registro remoto de alta velocidad.
En la lista Nombre del grupo, seleccione un grupo de registro de la lista de servidores de registro remotos.
Por ejemplo, Logging_Pool.
En la lista Protocolo, seleccione TCP.
Haga clic en Finalizar.
Creación de un destino de registro con formato
El destino del registro con formato se utiliza para especificar cualquier formato especial que se requiera en los eventos que se reenvían al destino de registro de alta velocidad.
En el menú de navegación, seleccione System >Logs >Configuration >Log Destinations.
Haga clic en Crear.
En el campo Nombre , escriba un nombre para el destino del formato de registro.
Por ejemplo, Logging_Format_dest.
En el campo Descripción , escriba una descripción.
En la lista Tipo , seleccione Syslog remoto.
En la lista Formato de Syslog, seleccione Syslog.
En la lista Destino de registro de alta velocidad, seleccione su destino de registro de alta velocidad.
Por ejemplo, Logging_HSL_dest.
Haga clic en Finalizado.
Crear un publicador de registros
La creación de un publicador permite al dispositivo BIG-IP publicar el mensaje de registro con formato en la base de datos syslog local.
En el menú de navegación, seleccione System >Logs >Configuration >Log Publishers.
Haga clic en Crear.
En el campo Nombre , escriba un nombre para el editor.
Por ejemplo, Logging_Pub.
En el campo Descripción , escriba una descripción.
-
En el campo Destinos, en la lista Disponible, seleccione el nombre del destino del registro que creó en Configuración de un grupo de registro y haga clic en << para agregar elementos a la lista Seleccionados.
Esta acción de clic mueve el destino del formato de registro de la lista Disponibles a la lista Seleccionados. Para incluir el registro local en la configuración del editor, puede agregar local-db y local-syslog a la lista Seleccionados.
Creación de un perfil de registro
Utilice el perfil de registro para configurar los tipos de eventos que produce el Administrador de firewall avanzado y para asociar estos eventos al destino del registro.
En el menú de navegación, seleccione Security >Event Logs >Logging Profile.
Haga clic en Crear.
En el campo Nombre , escriba un nombre para el perfil de registro.
Por ejemplo, Logging_Profile.
En el campo Firewall de red , active la casilla Habilitado .
En la lista Publicador, seleccione el publicador de registros que configuró.
Por ejemplo, Logging_Pub.
En el campo Registrar coincidencias de reglas , active las casillas Aceptar, Eliminar y Rechazar .
En el campo Registrar errores de IP , active la casilla Habilitado .
En el campo Registrar errores TCP , active la casilla Habilitado .
En el campo Registrar eventos TCP , active la casilla Habilitado .
En el campo Formato de almacenamiento , en la lista, seleccione Lista de campos.
En el campo Delimitador, escriba , (coma) como delimitador de eventos.
En el campo Formato de almacenamiento , seleccione todas las opciones de la lista Elementos disponibles y haga clic en <<.
Esta acción de clic mueve todas las opciones de Lista de campos de la lista Disponibles a la lista Seleccionados .
En el panel Inteligencia IP , en la lista Publicador, seleccione el publicador de registros que configuró.
Por ejemplo, Logging_Pub.
Haga clic en Finalizado.
Asociación del perfil a un servidor virtual
El perfil de registro que creó debe estar asociado a un servidor virtual en la ficha Directiva de seguridad . Esta asociación permite que el servidor virtual procese los eventos del firewall de red, junto con el tráfico local.
Realice los pasos siguientes para asociar el perfil a un servidor virtual.
En el menú de navegación, seleccione Tráfico local >Servidores virtuales.
Haga clic en el nombre de un servidor virtual que desea modificar.
En la pestaña Seguridad , seleccione Directivas.
En la lista Perfil de registro , seleccione Habilitado.
-
En el campo Perfil , en la lista Disponible , seleccione Logging_Profile o el nombre que especificó en Creación de un perfil de registro y haga clic en <<.
Esta acción de clic mueve la opción Logging_Profile de la lista Disponibles a la lista Seleccionados .
Haga clic en Actualizar para guardar los cambios.
La configuración se ha completado. El origen del registro se agrega a JSA a medida que los eventos syslog de BIG-IP AFM de F5 Networks se detectan automáticamente. Los eventos que F5 Networks reenvía a JSA BIG-IP AFM se muestran en la pestaña Actividad de registro de JSA.
Parámetros de origen de registro syslog para F5 Networks BIG-IP AFM
Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de AFM BIG-IP de F5 Networks en la consola de JSA mediante el protocolo syslog.
Cuando se utiliza el protocolo syslog, hay parámetros específicos que debe utilizar.
En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos syslog de AFM BIG-IP de F5 Networks:
Parámetro |
Valor |
|---|---|
Tipo de origen de registro |
F5 Networks BIG-IP AFM |
Configuración del protocolo |
Syslog |
Identificador de origen de registro |
Escriba la dirección IP o el nombre de host del origen del registro como identificador de eventos de sus dispositivos AFM BIG-IP de F5 Networks. |
Mensaje de evento de ejemplo de AFM BIG-IP de F5 Networks
Utilice este mensaje de evento de ejemplo para comprobar que la integración con JSA se ha realizado correctamente.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los retornos de carro o los caracteres de avance de línea.
Mensaje de ejemplo de AFM BIG-IP de F5 Networks cuando se utiliza el protocolo syslog
El siguiente mensaje de suceso de ejemplo muestra que el firewall ha interrumpido una conexión.
<134>Apr 30 19:22:53 f5networks.bigipafm.test 1 2019-04-30T19:22:53.800131+02:00 testCompa ny tmm 13301 23003142 [F5@12276 date_time="Apr 30 2019 19:22:52" bigip_mgmt_ip="10.13.101.251" hostnam e="testCompany" context_type="Virtual Server" context_name="/Common/V1_VmUAG_8443" ip_intelligence_po licy_name="/Common/V1_VmUAG.app/V1_VmUAG_ip_intelligence" source_ip="192.168.0.1" dest_ip="172.16.0.1" source_port="8080" dest_port="8443" vlan="/Common/Vlan290" ip_protocol="TCP" route_domain="1" ip_in telligence_threat_name="windows_exploits,spam_sources" action="Drop" attack_type="custom_category" tr anslated_source_ip="" translated_dest_ip="" translated_source_port="" translated_dest_port="" transla ted_vlan="" translated_ip_protocol="" translated_route_domain="" sa_translation_type="" sa_translatio n_pool="" flow_id="0000000000000000"] "Apr 30 2019 19:22:52","10.13.101.251","testCompany","","",""," Virtual Server","/Common/V1_VmUAG_8443","/Common/V1_VmUAG.app/ V1_VmUAG_ip_intelligence","192.168.0.1", "172.16.0.1","8080","8443","/Common/ Vlan290","TCP","1","windows_exploits,spam_sources","Drop","custom _category","","","","","","","","","","0000000000000000"