Назад | Перейти на главную страницу

Балансировщик нагрузки F5 и SIEM

Я ищу информацию о том, может ли F5 пересылать информацию системного журнала в SIEM, такую ​​как arclight или Qradar.

Я слышал, что вы можете отправлять только незашифрованный трафик через порт 80, но вы не можете пересылать что-либо зашифрованное. Это правда. Кто-нибудь еще сталкивался с этой проблемой.

F5 BIG-IP использует syslog-ng для базового ведения журнала, поэтому он будет полагаться на взаимная авторизация через TLS или или некоторые оглушающий метод.

Согласно документации F5(внизу страницы):

«Если вы хотите гарантировать, что сообщения Syslog-ng, регистрируемые удаленно, зашифрованы, вы должны сначала установить безопасный туннель».

Это предполагает, что вы собираетесь использовать только стандартный syslog-ng, включенный в систему.

F5 BIG-IP обычно интегрируется в SIEM с помощью высокоскоростной регистрации (HSL), которая вместо этого предоставляет события, включая события, происходящие в режиме, близком к реальному времени, такие как атаки безопасности и другие чувствительные ко времени потребности в регистрации. BIG-IP включает функции безопасности, а системный журнал не подходит для трафика событий.

F5 BIG-IP Высокоскоростной каротаж поддерживает безопасное удаленное ведение журнала.

Большинство крупных поставщиков SIEM также включат конкретные инструкции по интеграции с F5 BIG-IP.

Если у вас есть дополнительная информация, прокомментируйте здесь, и я могу соответствующим образом обновить свой ответ.