F5 ASM WAF インテグレーションガイド

F5 Networks Application Security Manager (ASM) Web Application Firewall (WAF) は、Taegis™ XDR Collector へ syslog 経由でログを送信するように設定する必要があります。WAF ログは、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。

ファイアウォール要件

ソース	宛先	ポート/プロトコル
F5 BIG-IP アプライアンス	XDR Collector (mgmt IP)	TCP/601

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
F5 ASM WAF		HTTP

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

ログ設定手順

バージョン 11.3 未満の ASM

注意

F5 バージョン 11.3 でいくつかの変更が導入されており、「11.3 未満」と「11.3 以上」では設定手順が異なります。お使いの F5 のバージョンに合った正しい手順を必ずご確認ください。

ASM のロギングプロファイルの設定

ロギングプロファイルへのアクセス

ロギングプロファイルにアクセスするには:

1. F5 のウェルカム画面から、Application Security > Options > Logging Profiles を開きます。

   

   ステップ1. ロギングプロファイルを開く。

2. ロギングプロファイルのページが表示されます。Log all requests、Log illegal requests、No logging profiles は、システムで作成されたデフォルトのロギングプロファイルです。

新しいロギングプロファイルの作成

新しいロギングプロファイルを作成するには:

1. ロギングプロファイルのページで Create をクリックします。フォームが表示されます。

   

   ステップ1. Create をクリック。

2. Configuration ドロップダウンメニューから Advanced を選択します。フォームが更新され、高度なフィールドが表示されます。

   

   ステップ2. Advanced を選択。

3. 以下のフィールドを入力します:

   • Profile Name — ロギングプロファイルの名前（関連付けるウェブアプリケーション名を含める）
   • Profile Description — プロファイルの説明
   • Guarantee Local Logging — Enabled を選択し、すべてのイベントログがリモート syslog 送信前に F5 ASM 上にローカル保存されるようにします
   • Response Logging — Off を選択
   • Storage Filter — Basic を選択
   • Request Type — Illegal Requests Only を選択
   • Maximum Entry Length — 64K を選択
   • Report Detected Anomalies — Enabled を選択
   • Remote Storage — Enabled を選択。追加のリモートロギングフィールドが表示されます:
     • Remote Storage Type — Remote を選択
     • Protocol — TCP を選択
     • IP Address — XDR Collector の IP アドレス。IP アドレスを入力後、Add をクリックしてリモートサーバーアドレスのリストに追加します。
     • Port — 601 を入力
     • Facility — LOG_LOCAL_5 を選択
     • Storage Format — Predefined を選択し、CSV の区切り文字を パイプ (|) に変更します。その後、以下の Available Items を この順番通りに Selected Items リストへ移動します:
       • date_time
       • unit_hostname
       • policy_name
       • method
       • ip_client
       • src port
       • x_forwarded-for_header-value
       • uri
       • response_code
       • http_class_name
       • attack_type
       • violations
       • sub_violations
       • sig_names
       • sig_ids
       • protocol
       • severity
       • request_status
       • request
       • support id
       • dest_id
       • dest_port

   注意

   上記の順番で項目を選択することが非常に重要です。この順番が、F5 ASM からロギングデバイスへ送信されるアラート情報の内容と順序を決定します。

   ヒント

   Available items 列でコントロールキーを押しながらプレースホルダーを選択することで、複数項目を一括選択できます。ただし、項目はアルファベット順で移動されるため、Up および Down ボタンで順番を調整してください。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

4. Create をクリックします。

   

   ステップ4. Create。

5. 新しいロギングプロファイルが作成され、ロギングプロファイル画面から利用可能になります。

   

   ステップ5. 作成されたロギングプロファイル。

ロギングプロファイルと ASM セキュリティポリシーの関連付け

ASM ロギングプロファイルは、リモート宛先へ自動的にイベントを送信しません。ASM がどのイベントをどのロギングプロファイルに関連付けるかを決定するため、まずセキュリティポリシーに関連付ける必要があります。以下の手順でプロファイルとポリシーを関連付けます。

ロギングプロファイルをポリシーに関連付けるには:

1. F5 のウェルカム画面から Application Security > Security Policies を選択します。

   

   ステップ1. セキュリティポリシーを開く。

2. アクティブなセキュリティポリシーのページが表示されます。

   

   ステップ2. アクティブなセキュリティポリシー。

3. ロギングプロファイルを関連付けたいポリシー名を選択します。Policy Properties ページが表示されます。

4. Logging Profile で、セキュリティポリシーに関連付けたいロギングプロファイルを選択します。

   

   ステップ4. ロギングプロファイルを選択。

5. Save を選択します。

6. 変更がまだ適用されていない旨の通知が表示されます。Apply Policy を選択して変更を反映させます。

   

   ステップ6. ポリシーを適用。

システムロギングの設定

システムロギングを設定するには:

1. F5 のウェルカム画面から System > Logs > Configuration > Remote Logging を開きます。
2. Remote Logging Properties ウィンドウが表示されます。

3. 以下のフィールドを入力します:

   • Remote IP — XDR Collector の IP アドレス
   • Remote Port — 601 を入力

   

   ステップ3. Remote Logging Properties を編集。

4. Add を選択して情報をリストに追加します。

5. Update を選択して変更を保存します。

これらの手順が完了すると、デバイスは XDR Collector へイベントを送信する準備が整います。

バージョン 11.3 以上の ASM

注意

F5 バージョン 11.3 でいくつかの変更が導入されており、「11.3 未満」と「11.3 以上」では設定手順が異なります。お使いの F5 のバージョンに合った正しい手順を必ずご確認ください。

下記に、保護対象のウェブアプリケーションを Security Policy Name（アプリケーション名）で定義してください。

ウェブアプリケーション名	説明
example_website	Example Company Main Website

ASM のロギングプロファイルの設定

ロギングプロファイルへのアクセス

ロギングプロファイルにアクセスするには:

1. F5 のウェルカム画面から Security > Event Logs > Logging Profiles を開きます。

   

   ステップ1. ロギングプロファイルを開く。

2. ロギングプロファイルのページが表示されます。Log all requests、Log illegal requests、No logging profiles は、システムで作成されたデフォルトのロギングプロファイルです。

新しいロギングプロファイルの作成

新しいロギングプロファイルを作成するには:

1. ロギングプロファイルのページで Create をクリックします。フォームが表示されます。

   

   ステップ1. ロギングプロファイルをクリック。

2. Configuration ドロップダウンメニューから Advanced を選択します。フォームが更新され、高度なフィールドが表示されます。

   

   ステップ1. Advanced を選択。

3. 以下のフィールドを入力します:

   • Profile Name — ロギングプロファイルの名前（関連付けるウェブアプリケーション名を含める）
   • Profile Description — プロファイルの説明
   • Guarantee Local Logging — Enabled を選択し、すべてのイベントログがリモート syslog 送信前に F5 ASM 上にローカル保存されるようにします
   • Response Logging — Off を選択
   • Storage Filter — Basic を選択
   • Request Type — Illegal Requests Only を選択
   • Maximum Entry Length — 64K を選択
   • Report Detected Anomalies — Enabled を選択
   • Remote Storage — Enabled を選択。追加のリモートロギングフィールドが表示されます:
     • Remote Storage Type — Remote を選択
     • Protocol — TCP を選択
     • IP Address — XDR Collector の IP アドレス。IP アドレスを入力後、Add をクリックしてリモートサーバーアドレスのリストに追加します。
     • Port — 601 を入力
     • Facility — LOG_LOCAL_5 を選択
     • Storage Format — Predefined を選択し、CSV の区切り文字をパイプ (|) に変更します。その後、以下の Available Items を この順番通りに Selected Items リストへ移動します:
       • date_time
       • unit_hostname
       • policy_name
       • method
       • ip_client
       • src port
       • x_forwarded-for_header-value
       • uri
       • response_code
       • http_class_name
       • attack_type
       • violations
       • sub_violations
       • sig_names
       • sig_ids
       • protocol
       • severity
       • request_status
       • request
       • support id
       • dest_id
       • dest_port

   注意

   上記の順番で項目を選択することが非常に重要です。この順番が、F5 ASM からロギングデバイスへ送信されるアラート情報の内容と順序を決定します。

   ヒント

   Available items 列でコントロールキーを押しながらプレースホルダーを選択することで、複数項目を一括選択できます。ただし、項目はアルファベット順で移動されるため、Up および Down ボタンで順番を調整してください。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

   

   ステップ3. ロギングプロファイルのフィールドを入力。

4. Create をクリックします。

5. 新しいロギングプロファイルが作成され、ロギングプロファイル画面から利用可能になります。

   

   ステップ5. 作成されたロギングプロファイル。

ロギングプロファイルと仮想サーバーの関連付け

バージョン 11.3 以上では、ロギングプロファイルは ASM セキュリティポリシーではなく、セキュリティポリシーに関連付けられた HTTP クラスプロファイルをホストする仮想サーバーに関連付けます。これにより、1つの仮想プロファイルに複数のロギングプロファイルを関連付けることができます。

ロギングプロファイルを仮想サーバーに関連付けるには:

1. F5 のウェルカム画面から Local Traffic > Virtual Servers > Virtual Server List を選択します。

   

   ステップ1. Virtual Server List を開く。

2. ロギングプロファイルを関連付けたい仮想サーバー名を選択します。Properties ウィンドウが表示されます。

   

   ステップ2. Properties を開く。

3. Security > Policies を選択します。

   

   ステップ3. Policies を開く。

4. Available から、セキュリティポリシーに関連付けたいロギングプロファイルを選択し、Selected ボックスに移動します。

   

   ステップ4. プロファイルを選択。

5. Update を選択して変更を保存します。

   

   ステップ5. 変更を更新。

システムロギングの設定

システムロギングを設定するには:

1. F5 のウェルカム画面から System > Logs > Configuration > Remote Logging を開きます。
2. Remote Logging Properties ウィンドウが表示されます。

3. 以下のフィールドを入力します:

   • Remote IP — XDR Collector の IP アドレス
   • Remote Port — 601 を入力

   

   ステップ3. Logging Properties を編集。

4. Add を選択して情報をリストに追加します。

5. Update を選択して変更を保存します。

   これらの手順が完了すると、デバイスは XDR Collector へイベントを送信する準備が整います。