Я ищу информацию о том, может ли F5 пересылать информацию системного журнала в SIEM, такую как arclight или Qradar.
Я слышал, что вы можете отправлять только незашифрованный трафик через порт 80, но вы не можете пересылать что-либо зашифрованное. Это правда. Кто-нибудь еще сталкивался с этой проблемой.
F5 BIG-IP использует syslog-ng для базового ведения журнала, поэтому он будет полагаться на взаимная авторизация через TLS или или некоторые оглушающий метод.
Согласно документации F5(внизу страницы):
«Если вы хотите гарантировать, что сообщения Syslog-ng, регистрируемые удаленно, зашифрованы, вы должны сначала установить безопасный туннель».
Это предполагает, что вы собираетесь использовать только стандартный syslog-ng, включенный в систему.
F5 BIG-IP обычно интегрируется в SIEM с помощью высокоскоростной регистрации (HSL), которая вместо этого предоставляет события, включая события, происходящие в режиме, близком к реальному времени, такие как атаки безопасности и другие чувствительные ко времени потребности в регистрации. BIG-IP включает функции безопасности, а системный журнал не подходит для трафика событий.
F5 BIG-IP Высокоскоростной каротаж поддерживает безопасное удаленное ведение журнала.
Большинство крупных поставщиков SIEM также включат конкретные инструкции по интеграции с F5 BIG-IP.
Если у вас есть дополнительная информация, прокомментируйте здесь, и я могу соответствующим образом обновить свой ответ.