Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log F5 BIG-IP ASM

Didukung di:

Google secops Siem

Dokumen ini menjelaskan cara menyerap log F5 BIG-IP Application Security Manager (ASM) ke Google Security Operations menggunakan Bindplane. Parser menangani berbagai format log (syslog, CSV, CEF, dll.) dan menormalisasinya ke dalam UDM. Fungsi ini menggunakan pola grok dan ekstraksi nilai kunci untuk mengurai kolom, pemfilteran XML untuk detail pelanggaran, logika bersyarat untuk kategorisasi peristiwa dan pemetaan tingkat keparahan, serta menggabungkan kolom yang diekstrak ke dalam skema UDM.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke F5 BIG-IP ASM.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: F5_ASM
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Logging Jarak Jauh di F5 BIG-IP ASM

Login ke UI Web Konsol ASM.
Buka Keamanan > Log Peristiwa > Profil Logging.
Klik Buat.
Berikan detail konfigurasi berikut:
- Nama Profil: masukkan nama unik untuk profil.
- Pilih Keamanan Aplikasi.
- Di tab Keamanan Aplikasi, pilih Lanjutan (jika konfigurasi tambahan diperlukan).
- Storage Destination: pilih Remote Storage.
- Logging Format: Pilih Common Event Format (CEF).
- Hapus Penyimpanan lokal.
- Protocol: pilih UDP atau TCP (bergantung pada konfigurasi agen Bindplane Anda).
- Alamat Server: masukkan Alamat IP agen Bindplane.
- Port: dipilih secara default 514. Perbarui setelan port sesuai dengan konfigurasi agen Bindplane Anda.
- Klik Tambahkan.
- Pilih Guarantee logging.
- Pilih Laporkan anomali yang terdeteksi.
- Fasilitas: pilih LOG_LOCAL6 (secara opsional, Anda dapat memilih kategori fasilitas traffic yang dicatat ke dalam log, nilai yang mungkin adalah LOG_LOCAL0 hingga LOG_LOCAL7).
Catatan: Jika memiliki lebih dari satu kebijakan keamanan, Anda dapat menggunakan server logging jarak jauh yang sama untuk kedua aplikasi, dan menggunakan filter fasilitas untuk mengurutkan data untuk masing-masing aplikasi.
Klik Selesai.

Mengaitkan profil logging dengan kebijakan keamanan

Klik Traffic Lokal > Server Virtual.
Klik nama server virtual yang digunakan oleh kebijakan keamanan.
Dari menu Keamanan, pilih Kebijakan.
Pastikan setelan Kebijakan Keamanan Aplikasi Diaktifkan, dan Kebijakan disetel ke kebijakan keamanan yang Anda inginkan.
Pastikan setelan Log Profile disetel ke Enabled.
Dari daftar Tersedia, pilih profil yang akan digunakan untuk kebijakan keamanan, lalu pindahkan ke daftar Dipilih.
Klik Perbarui.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`act`	`security_result.action`	Jika `act` adalah `blocked`, dipetakan ke BLOKIR. Jika `act` adalah `passed` atau `legal`, akan dipetakan ke ALLOW. Jika `act` berisi `alerted`, akan dipetakan ke QUARANTINE. Jika tidak, setelan defaultnya adalah ALLOW untuk format Splunk.
`app`	`network.application_protocol`	Langsung dipetakan ke HTTPS jika ada dalam log mentah.
`attack_type`	`security_result.category_details`, `metadata.description`	Digunakan bersama dengan kolom lain untuk menentukan `security_result.category`. Jika tidak ada deskripsi lain yang tersedia, deskripsi ini akan menjadi deskripsi peristiwa. Untuk log format Splunk, kolom ini digunakan untuk menentukan kategori dan ringkasan jika `violations` kosong.
`client_ip`	`principal.ip`, `principal.asset.ip`	Langsung dipetakan ke IP utama.
`cn1`	`network.http.response_code`	Langsung dipetakan ke kode respons HTTP.
`cn2`	`security_result.severity_details`	Langsung dipetakan ke detail tingkat keparahan hasil keamanan. Digunakan dengan `response_code` untuk menentukan apakah peristiwa merupakan pemberitahuan.
`column1`	`principal.ip`, `principal.asset.ip`	Memetakan ke IP utama untuk log berformat CSV tertentu.
`column2`	`target.port`	Dipetakan ke port target untuk log berformat CSV tertentu.
`column3`	`target.ip`, `target.asset.ip`	Dipetakan ke IP target untuk log berformat CSV tertentu.
`column4`	`security_result.severity`	Dipetakan ke tingkat keparahan hasil keamanan untuk log berformat CSV tertentu. Nilai `Information`, `Informational`, `0`, `4` dipetakan ke INFORMASI. `Warning`, `1`, `3` dipetakan ke SEDANG. `Error`, `2` dipetakan ke ERROR. `Critical`, `CRITICAL`, `critical` dipetakan ke CRITICAL.
`column7`	`security_result.detection_fields`, `network.http.response_code`	Berisi data XML. `viol_name` dalam `request-violations` diekstrak dan ditambahkan sebagai kolom deteksi dengan kunci `Request Violation Name_index`. `viol_name` dalam `response_violations` diekstrak dan ditambahkan sebagai kolom deteksi dengan kunci `Response Violation Name_index`. `response_code` dalam `response_violations` dipetakan ke `network.http.response_code`.
`column8`	`security_result.rule_name`	Dipetakan ke nama aturan hasil keamanan untuk log berformat CSV tertentu.
`cs1`	`security_result.rule_name`	Langsung dipetakan ke nama aturan hasil keamanan.
`cs2`	`security_result.summary`	Langsung dipetakan ke ringkasan hasil keamanan.
`cs5`	`principal.ip`, `principal.asset.ip`, `additional.fields`	Jika `cs5` berisi URL LDAP JNDI, URL tersebut akan ditambahkan sebagai kolom tambahan dengan kunci `JNDI_LDAP_URL`. Jika tidak, jika berisi IP yang dipisahkan koma, IP apa pun yang berbeda dari `principal_ip` akan ditambahkan sebagai IP utama tambahan.
`cs6`	`principal.location.country_or_region`	Langsung dipetakan ke negara atau wilayah lokasi utama.
`data`	`network.session_id`, `network.sent_bytes`, `network.tls.version`	Jika ada, diuraikan sebagai JSON untuk mengekstrak `sessionid`, `bits` (dipetakan ke `sent_bytes`), dan `version`.
`date_time`	`metadata.event_timestamp`	Langsung dipetakan ke stempel waktu peristiwa setelah mengurai dan mengonversi ke format yang benar.
`dest_ip`	`target.ip`, `target.asset.ip`	Langsung dipetakan ke IP target.
`dest_port`	`target.port`	Langsung dipetakan ke port target.
`dhost`	`target.hostname`	Langsung dipetakan ke nama host target.
`dpt`	`target.port`	Langsung dipetakan ke port target.
`dst`	`target.ip`	Langsung dipetakan ke IP target.
`dvc`	`intermediary.ip`	Langsung dipetakan ke IP perantara.
`dvchost`	`target.hostname`, `intermediary.hostname`	Memetakan langsung ke nama host target dan nama host perantara.
`errdefs_msgno`	`additional.fields`	Ditambahkan sebagai kolom tambahan dengan kunci `errdefs_msgno`.
`externalId`	`additional.fields`	Ditambahkan sebagai kolom tambahan dengan kunci `Support_Id`.
`f5_host`	`target.hostname`, `intermediary.hostname`	Memetakan langsung ke nama host target dan nama host perantara.
`geo_info`	`principal.location.country_or_region`, `security_result.detection_fields`	Peta ke negara atau wilayah lokasi utama. Juga ditambahkan sebagai kolom deteksi dengan kunci `geo_info`.
`host`	`target.hostname`	Langsung dipetakan ke nama host target.
`ids`	`additional.fields`	Diurai sebagai daftar ID dukungan yang dipisahkan koma. Setiap ID ditambahkan ke kolom tambahan bernilai daftar dengan kunci `supportid`.
`ip_addr_intelli`	`security_result.detection_fields`	Ditambahkan sebagai kolom deteksi dengan kunci `ip_addr_intelli`.
`ip_client`	`principal.ip`	Langsung dipetakan ke IP utama.
`ip_route_domain`	`principal.ip`, `principal.asset.ip`	Bagian IP diekstrak dan dipetakan ke IP utama.
`irule`	`security_result.rule_name`	Langsung dipetakan ke nama aturan hasil keamanan.
`irule-version`	`security_result.rule_version`	Langsung dipetakan ke versi aturan hasil keamanan.
`level`	`security_result.severity`, `security_result.severity_details`	Digunakan untuk menentukan tingkat keparahan hasil keamanan. Peta `error` atau `warning` ke TINGGI. `notice` dipetakan ke SEDANG. Peta `information` atau `info` ke RENDAH. Nilai mentah juga dipetakan ke `severity_details`.
`logtime`	`metadata.event_timestamp`	Secara langsung dipetakan ke stempel waktu peristiwa setelah penguraian.
`management_ip_address`, `management_ip_address_2`	`intermediary.ip`	Langsung dipetakan ke IP perantara.
`method`	`network.http.method`	Dipetakan langsung ke metode HTTP.
`msg`	`security_result.summary`, `metadata.description`	Langsung dipetakan ke ringkasan hasil keamanan untuk beberapa format log. Jika tidak ada deskripsi lain yang tersedia, deskripsi ini akan menjadi deskripsi peristiwa.
`policy_name`	`security_result.about.resource.name`, `security_result.rule_name`	Langsung dipetakan ke nama resource hasil keamanan atau nama aturan.
`process`	`target.application`	Langsung dipetakan ke aplikasi target.
`process_id`	`principal.process.pid`	Langsung dipetakan ke ID proses utama.
`protocol`	`network.application_protocol`, `network.ip_protocol`, `app_protocol`	Langsung dipetakan ke protokol aplikasi atau protokol IP, bergantung pada format log.
`proxy_id`	`security_result.rule_id`	Langsung dipetakan ke ID aturan hasil keamanan.
`query_string`	`additional.fields`	Ditambahkan sebagai kolom tambahan dengan kunci `query_string`.
`referrer`	`network.http.referral_url`	Dipetakan langsung ke URL rujukan HTTP.
`req_method`	`network.http.method`	Dipetakan langsung ke metode HTTP.
`req_status`	`security_result.action`, `security_result.action_details`, `security_result.detection_fields`	Jika `blocked`, petakan `security_result.action` ke BLOKIR. Jika `passed` atau `legal`, dipetakan ke ALLOW. Jika berisi `alerted`, dipetakan ke QUARANTINE. Nilai mentah juga dipetakan ke `action_details` dan ditambahkan sebagai kolom deteksi dengan kunci `req_status`.
`request`	`target.url`	Langsung dipetakan ke URL target.
`requestMethod`	`network.http.method`	Dipetakan langsung ke metode HTTP.
`resp`	`security_result.detection_fields`	Ditambahkan sebagai kolom deteksi dengan kunci `resp`.
`resp_code`	`network.http.response_code`	Langsung dipetakan ke kode respons HTTP.
`response`	`security_result.summary`	Langsung dipetakan ke ringkasan hasil keamanan.
`response_code`	`network.http.response_code`	Langsung dipetakan ke kode respons HTTP.
`route_domain`	`additional.fields`	Ditambahkan sebagai kolom tambahan dengan kunci `route_domain`.
`rt`	`metadata.event_timestamp`	Secara langsung dipetakan ke stempel waktu peristiwa setelah penguraian.
`sev`	`security_result.severity`, `security_result.severity_details`	Digunakan untuk menentukan tingkat keparahan hasil keamanan. `ERROR` dipetakan ke ERROR. Nilai mentah juga dipetakan ke `severity_details`.
`severity`	`security_result.severity`, `security_result.severity_details`	Digunakan untuk menentukan tingkat keparahan hasil keamanan. `Informational` dipetakan ke RENDAH, `Error` atau `warning` dipetakan ke TINGGI, `critical` dipetakan ke KRITIS, `notice` dipetakan ke SEDANG, `information` atau `info` dipetakan ke RENDAH. Nilai mentah juga dipetakan ke `severity_details`.
`sig_ids`	`security_result.rule_id`	Langsung dipetakan ke ID aturan hasil keamanan.
`sig_names`	`security_result.rule_name`	Langsung dipetakan ke nama aturan hasil keamanan.
`snat_ip`	`principal.nat_ip`	Langsung dipetakan ke IP NAT utama.
`snat_port`	`principal.nat_port`	Langsung dipetakan ke port NAT utama.
`src`	`principal.ip`, `principal.asset.ip`	Langsung dipetakan ke IP utama.
`spt`	`principal.port`	Langsung dipetakan ke port utama.
`sub_violates`	`security_result.about.resource.attribute.labels`	Ditambahkan sebagai label dengan kunci `Sub Violations` ke atribut resource hasil keamanan.
`sub_violations`	`security_result.about.resource.attribute.labels`	Ditambahkan sebagai label dengan kunci `Sub Violations` ke atribut resource hasil keamanan.
`summary`	`security_result.summary`	Langsung dipetakan ke ringkasan hasil keamanan.
`support_id`	`metadata.product_log_id`	Diawali dengan `support_id -` dan dipetakan ke ID log produk.
`suid`	`network.session_id`	Langsung dipetakan ke ID sesi jaringan.
`suser`	`principal.user.userid`	Langsung dipetakan ke ID pengguna utama.
`timestamp`	`metadata.event_timestamp`	Langsung dipetakan ke stempel waktu peristiwa setelah mengurai dan mengonversi ke format yang benar.
`unit_host`	`principal.hostname`, `principal.asset.hostname`	Langsung dipetakan ke nama host utama.
`uri`	`principal.url`	Langsung dipetakan ke URL utama.
`user_id`	`principal.user.userid`	Langsung dipetakan ke ID pengguna utama.
`user_name`	`principal.user.user_display_name`	Langsung dipetakan ke nama tampilan pengguna utama.
`username`	`principal.user.userid`	Langsung dipetakan ke ID pengguna utama.
`useragent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Langsung dipetakan ke agen pengguna HTTP. Juga diuraikan dan dipetakan ke agen pengguna yang diuraikan.
`virtualserver`	`network.tls.client.server_name`	Langsung dipetakan ke nama server klien TLS.
`violate_details`	`security_result.detection_fields`, `network.http.response_code`	Berisi data XML. `viol_name` dalam `request-violations` diekstrak dan ditambahkan sebagai kolom deteksi dengan kunci `Request Violation Name_index`. `viol_name` dalam `response_violations` diekstrak dan ditambahkan sebagai kolom deteksi dengan kunci `Response Violation Name_index`. `response_code` dalam `response_violations` dipetakan ke `network.http.response_code`.
`violate_rate`	`security_result.detection_fields`	Ditambahkan sebagai kolom deteksi dengan kunci `violate_rate`.
`violation_rating`	`security_result.about.resource.attribute.labels`	Ditambahkan sebagai label dengan kunci `Violations Rating` ke atribut resource hasil keamanan.
`violations`	`security_result.description`	Langsung dipetakan ke deskripsi hasil keamanan. Untuk log format Splunk, kolom ini digunakan untuk menentukan ringkasan jika ada.
`virus_name`	`security_result.threat_name`	Langsung dipetakan ke nama ancaman hasil keamanan.
`vs_name`	`network.tls.client.server_name`	Langsung dipetakan ke nama server klien TLS.
`websocket_direction`	`network.direction`	Jika `clientToServer`, dipetakan ke INBOUND. Jika `ServerToclient`, dipetakan ke OUTBOUND.
`websocket_message_type`	`security_result.detection_fields`	Ditambahkan sebagai kolom deteksi dengan kunci `WebsocketMessageType`.
`x_fwd_hdr_val`	`principal.ip`, `principal.asset.ip`	Langsung dipetakan ke IP utama.

Perubahan

2025-02-11

Peningkatan:

Memetakan column3 ke principal.ip dan principal.asset.ip

2025-02-04

Peningkatan:

Menambahkan gsub untuk menghapus karakter non-utf8 dari kolom uri jika berisi karakter non-utf8 untuk mengurai log.

2025-01-30

Peningkatan:

Menghapus kolom cs5 dari _intermediary.ip dan _intermediary.asset.ip.
Memetakan src ke principal.nat_ip.
Memetakan cs5 ke principal.ip dan principal.asset.ip.

2025-01-17

Peningkatan:

Menghapus kondisi penghapusan untuk mengurai log dengan karakter non-utf8.

2024-12-11

Peningkatan:

Mengubah Pola Grok untuk mendukung format log syslog baru.

2024-11-28

Peningkatan:

Mengubah pemetaan Referer dari network.http.referral_url menjadi target.url.

2024-11-07

Peningkatan:

Memetakan exec_data ke target.process.command_line.
Memetakan src ke principal.hostname dan principal.asset.hostname.
Memetakan cs3 ke additional.fields.

2024-10-30

Peningkatan:

Menambahkan dukungan untuk menangani log CSV.

2024-10-28

Peningkatan:

Mengubah pola Grok yang ada untuk menangani pemblokiran ISP dan pemblokiran GEO ISP.

2024-10-25

Peningkatan:

Memetakan form_data ke additional.fields.

2024-10-23

Peningkatan:

Memetakan SOAPAction ke additional.fields.

2024-09-30

Peningkatan:

Memetakan link ke target.url
Jika pesan berisi DROP, tetapkan security_result.action ke BLOCK.
Jika pesan berisi allowed, tetapkan security_result.action ke ALLOW.

2024-08-07

Peningkatan:

Mengubah pola Grok yang ada untuk menangani log CEF.
Memetakan suid ke principal.user.userid.
Memetakan suser ke principal.user.user_display_name.
Memetakan device_version ke metadata.product_version.
Memetakan severity ke security_result.severity.

2024-07-15

Peningkatan:

Menambahkan dukungan untuk menangani log SYSLOG + KV.

2024-06-17

Peningkatan:

Menambahkan dukungan untuk pola log CSV baru.

2024-06-11

Peningkatan:

Menambahkan blok KV untuk menangani log KV yang tidak diuraikan.
Log CSV berformat menggunakan gsub untuk mengurai log CSV.

2024-05-13

Peningkatan:

Menambahkan blok KV untuk mengurai log KV.
Menambahkan gsub untuk menghapus karakter yang tidak diinginkan.

2024-04-19

Peningkatan:

Menangani log CSV yang tidak diuraikan.
Menambahkan pola Grok untuk memetakan resp_code.
Memetakan errdefs_msgno, support_id_array, audit_component ke additional.fields.
Memetakan descrip ke metadata.description.

2024-04-08

Peningkatan:

Menambahkan dukungan untuk mengurai log yang baru ditransfer dan belum diuraikan.

2024-04-05

Perbaikan bug:

Menambahkan kondisi untuk mengurai log CEM ASF yang dihapus.

2024-02-27

Perbaikan bug:

Jika kolom cs5 memiliki alamat IP yang valid, maka akan dipetakan ke principal.ip.
Pemetaan principal.ip dan principal.asset.ip yang diselaraskan.
Pemetaan principal.hostname dan principal.asset.hostname yang diselaraskan.
Pemetaan target.ip dan target.asset.ip yang diselaraskan.
Pemetaan target.hostname dan target.asset.hostname yang diselaraskan.

2024-01-12

Peningkatan:

Memetakan severity ke security_result.severity_details.
Memetakan resp_code ke http.response_code.
Memetakan virus_name ke security_result.threat_name.
Memetakan ip_route_domain ke principal.ip.
Memetakan geo_info, resp, req_status, violate_rate, dan ip_addr_intelli ke security_result.detection_fields.

2023-12-15

Peningkatan:

Menangani kumpulan log yang baru ditransfer dengan metadata.event_type adalah GENERIC_EVENT dan network.application_protocol adalah HTTP.
Tetapkan network.ip_protocol ke UDP jika pesan berisi UDP.
Menghapus nilai hardcoding network.application_protocol.
Tetapkan network.application_protocol ke HTTP dan HTTPS jika message memiliki HTTP dan `HTTPS.
Tetapkan network.application_protocol ke HTTP jika metadata.event_type adalah NETWORK_HTTP.
Menambahkan dua pola Grok untuk mengurai principal_ip dan src_port dari log yang baru ditransfer.
Memetakan message_body ke metadata.description.
Memetakan tmm_msg ke metadata.description

2023-12-07

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log KV+XML baru.
Menambahkan filter KV untuk mengurai log KV yang tidak diuraikan.
Menambahkan filter XML untuk mengurai log XML yang tidak diuraikan.
Memetakan policy_name ke security_result.about.resource.name.
Memetakan viol_name ke security_result.detection_fields.
Memetakan response_code ke network.http.response_code.
Mengubah pola Grok untuk memetakan kolom Referer lengkap ke network.http.referral_url.
Memetakan parseduseragent ke `network.http.parsed_user_agent.

2023-11-08

Peningkatan:

Menambahkan pola Grok baru untuk mengurai log KV baru.
Menambahkan filter KV untuk mengurai log KV yang di-upas.
Memetakan bigip_mgmt_ip, client_ip_geo_location, client_port, client_request_uri, device_version, http_method, route_domain, dan virtual_server_name ke principal.ip, principal.location.country_or_region, principal.port, principal.url, metadata.product_version, network.http.method, additional.fields, network.tls.client.server_name.
Menambahkan legal ke kondisi request_status untuk memetakan security_result.action_details sebagai ALLOW.
Memetakan profile_name, action, previous_action, bot_signature, bot_signature_category, bot_name, class, anomaly_categories, anomalies, micro_services_name, micro_services_type, micro_services_matched_wildcard_url, micro_services_hostname, browser_configured_verification_action, browser_actual_verification_action, new_request_status, mobile_is_app, enforced_by, application_display_name, client_type, dan challenge_failure_reason ke additional.fields.

2023-10-19

Peningkatan:

Menambahkan pola Grok untuk mengekstrak nilai kolom Referer sebagai referer dari log CEF.
Memetakan referer ke network.http.referral_url.

2023-09-27

Perbaikan bug:

Tetapkan security_result.action ke BLOCK dan security_result.action_details ke blocked untuk log yang memiliki request_status = blocked.
Tetapkan security_result.action ke ALLOW dan security_result.action_details ke passed untuk log yang memiliki request_status = passed.
Tetapkan security_result.action ke QUARANTINE dan security_result.action_details ke alerted untuk log yang memiliki request_status = alerted.

2023-08-07

Peningkatan:

Memetakan management_ip_address ke metadata.intermediary.ip.
Memetakan request_status ke security_result.action.
Memetakan query_string ke additional.fields.
Memetakan sig_ids ke security_result.rule_id.
Memetakan sig_names ke security_result.rule_name.
Memetakan username ke principal.user.userid.
Memetakan policy_name ke security_result.about.resource.name.
Memetakan sub_violations ke security_result.about.resource.attribute.labels.
Memetakan violation_rating ke security_result.about.resource.attribute.labels.
Memetakan websocket_direction ke network.direction.
Memetakan websocket_message_type ke security_result.detection_fields.

2023-07-27

Perbaikan bug:

Menambahkan kolom baru target_app untuk berisi nilai yang sesuai dengan target.application.
Memetakan kolom process ke target.application hanya jika nilai kolom target_app adalah null.
Mengonversi kolom process menjadi string jika bukan string.

2023-07-03

Peningkatan:

Memetakan externalId ke `additional.fields.
Memetakan waktu peristiwa ke `metadata.event_timestamp.

2023-05-12

Peningkatan:

Untuk log format CEF, memetakan informasi tentang serangan ke security_result.description.

2023-04-06

Peningkatan:

Peristiwa login diuraikan sebagai 'USER_LOGIN', bukan 'STATUS UPDATE'.
Mengurai nilai nama pengguna di 'firstname.lastname' dan memetakan ke 'principal.user.userid'.

2023-02-09

Peningkatan:

Mengurai log yang berisi type=irule dengan menambahkan pola grok baru dan memetakan kolom berikut:
Memetakan type ke metadata.product_event_type.
Memetakan data.sessionid ke network.session_id.
Memetakan data.bits ke network.sent_bytes.
Memetakan data.version ke network.tls.version.
Memetakan client_ip ke principal.ip.
Memetakan client_port ke principal.port.
Memetakan snat_ip ke principal.nat_ip.
Memetakan snat_port ke principal.nat_port.
Memetakan server_ip ke target.ip.
Memetakan server_port ke target.port.
Memetakan irule ke security_result.rule_name.
Memetakan irule-version ke security_result.rule_version.
Memetakan proxy_id ke security_result.rule_id.
Memetakan virtualserver ke network.tls.client.server_name.

2022-11-03

Peningkatan:

Menambahkan kondisi untuk log format CEF yang tidak diuraikan.
Menambahkan kondisi untuk memeriksa log user_login sshd dan httpd.
Menambahkan pola grok untuk mengurai log keberhasilan/kegagalan user_login httpd dan sshd.
Memetakan event_id ke metadata.product_log_id.
Memetakan application ke target.application.
Memetakan prin_ip ke principal.ip.
Memetakan SSH ke app_protocol saat tty adalah ssh atau applicaition adalah sshd.
Memetakan user_id principal.user.user_id.
Memetakan USER_LOGIN ke metadata.event_type untuk log user_login httpd/sshd.
Memetakan auth_level ke principal.user.attribute.roles.
Memetakan addr dari log ke target.ip
Memetakan port dari log ke target.port

2022-09-21

Peningkatan:

Memigrasikan pelanggan khusus ke parser default.

2022-05-17

Peningkatan:

Meningkatkan parser untuk mengurai header permintaan HTTP.

2022-04-27

Perbaikan bug:

Meningkatkan parser untuk mengurai log dengan format ASM:.

26-04-2022

Peningkatan:

Meningkatkan parser untuk menangani log mentah yang tidak diuraikan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.