Edgio WAF-Logs erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Edgio Web Application Firewall (WAF)-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Der RTLD-Dienst (Real-Time Log Delivery) von Edgio kann komprimierte WAF-Logdaten automatisch direkt an einen Cloud Storage-Bucket senden, den Google SecOps dann zur Analyse und Überwachung aufnehmen kann.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz.
  • Privilegierter Zugriff auf die Google Cloud -Plattform.
  • Privilegierter Zugriff auf die Edgio Console.
  • Eine aktive Edgio-Property mit aktivierter WAF.

Google Cloud Storage-Bucket konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Rufen Sie Cloud Storage > Buckets auf.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen eindeutigen Bucket-Namen ein, z. B. edgio-waf-logs.
    • Standorttyp: Wählen Sie je nach Ihren Anforderungen Region oder Mehrere Regionen aus.
    • Standort: Wählen Sie den Standort aus, der Ihrer Edgio-Bereitstellung am nächsten ist.
    • Speicherklasse: Wählen Sie Standard aus.
    • Zugriffssteuerung: Wählen Sie Einheitlich aus.
    • Verschlüsselung: Wählen Sie Google-owned and Google-managed encryption key aus.
  5. Klicken Sie auf Erstellen.

Bucket-Berechtigungen für Edgio konfigurieren

  1. Rufen Sie in der Google Cloud -Konsole den neu erstellten Bucket auf.
  2. Klicken Sie auf Berechtigungen.
  3. Klicken Sie auf Zugriff gewähren.
  4. Fügen Sie im Feld Neue Hauptkonten Folgendes hinzu: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Wählen Sie in der Liste Rolle auswählen die Option Storage Object Creator aus.
  6. Klicken Sie auf Speichern.

Edgio Real-Time Log Delivery konfigurieren

  1. Melden Sie sich in der Edgio Console an.
  2. Wählen Sie Ihr vertrauliches Profil oder Ihre Organisation aus.
  3. Wählen Sie die gewünschte Property aus.
  4. Wählen Sie im linken Bereich die gewünschte Umgebung aus.
  5. Klicken Sie im linken Bereich auf Echtzeit-Log-Übermittlung.
  6. Klicken Sie auf + Neues Profil für die Protokollauslieferung.
  7. Wählen Sie WAF als Protokolltyp aus.
  8. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps WAF Logs.
    • Ziel: Wählen Sie Google Cloud Storage aus.
    • Bucket: Geben Sie den Namen Ihres GCS-Buckets ein, z. B. edgio-waf-logs.
    • Präfix: Optional. Geben Sie ein Präfix für die Organisation von Logs ein, z. B. waf/.
    • Logformat: Wählen Sie JSON (Standard) aus.
    • Logs downsamplen: Lassen Sie das Kästchen deaktiviert, damit alle Logs bereitgestellt werden.
  9. Achten Sie darauf, dass im Bereich Felder alle Pflichtfelder ausgewählt sind. Wichtige Felder:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • Host
    • Referrer
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Edgio WAF-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Edgio WAF Logs.
  4. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  5. Wählen Sie Edgio WAF als Logtyp aus.
  6. Klicken Sie auf Dienstkonto abrufen.
  7. Kopieren Sie die angezeigte E‑Mail-Adresse des Dienstkontos.
  8. Klicken Sie auf Weiter.
  9. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Storage-Bucket-URI: Geben Sie den URI Ihres Cloud Storage-Bucket ein (Format: gs://edgio-waf-logs/waf/).
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  10. Klicken Sie auf Weiter.
  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Berechtigungen für das Google SecOps-Dienstkonto gewähren

  1. Kehren Sie zur Google Cloud Console zurück.
  2. Rufen Sie Ihren Cloud Storage-Bucket auf.
  3. Klicken Sie auf Berechtigungen.
  4. Klicken Sie auf Zugriff gewähren.
  5. Fügen Sie im Feld Neue Hauptkonten die E‑Mail-Adresse des Dienstkontos ein, die Sie aus Google SecOps kopiert haben.
  6. Wählen Sie in der Liste Rolle auswählen die Option Storage-Objekt-Betrachter aus.
  7. Wenn Sie in der Feedkonfiguration Löschoptionen ausgewählt haben, gewähren Sie auch die Rolle Storage-Objekt-Administrator.
  8. Klicken Sie auf Speichern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten