Recoger registros de WAF de Edgio

Disponible en:

En esta guía se explica cómo ingerir registros del cortafuegos de aplicaciones web (WAF) de Edgio en Google Security Operations mediante Google Cloud Storage. El servicio Real-Time Log Delivery (RTLD) de Edgio puede enviar automáticamente datos de registro de WAF comprimidos directamente a un bucket de Cloud Storage, que Google SecOps puede ingerir para analizarlos y monitorizarlos.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Una instancia de Google SecOps.
  • Acceso privilegiado a la plataforma Google Cloud .
  • Acceso privilegiado a la consola de Edgio.
  • Una propiedad de Edgio activa con WAF habilitado.

Configurar un Google Cloud segmento de almacenamiento

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Cloud Storage > Segmentos.
  3. Haz clic en Crear.
  4. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre de contenedor único (por ejemplo, edgio-waf-logs).
    • Tipo de ubicación: selecciona Región o Multirregión según tus requisitos.
    • Ubicación: selecciona la ubicación más cercana a tu implementación de Edgio.
    • Clase de almacenamiento: selecciona Estándar.
    • Control de acceso: selecciona Uniforme.
    • Cifrado: selecciona Google-owned and Google-managed encryption key.
  5. Haz clic en Crear.

Configurar permisos de segmento para Edgio

  1. En la Google Cloud consola, ve al segmento que acabas de crear.
  2. Haz clic en Permisos.
  3. Haz clic en Conceder acceso.
  4. En el campo New principals (Nuevos principales), añade: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. En la lista Selecciona un rol, elige Creador de objetos de Storage.
  6. Haz clic en Guardar.

Configurar el envío de registros en tiempo real de Edgio

  1. Inicia sesión en la consola de Edgio.
  2. Selecciona tu espacio privado o tu organización.
  3. Seleccione la propiedad que quiera.
  4. En el panel de la izquierda, selecciona el entorno que necesites.
  5. En el panel de la izquierda, haga clic en Realtime Log Delivery (Entrega de registros en tiempo real).
  6. Haga clic en + Nuevo perfil de entrega de registros.
  7. Seleccione WAF como tipo de registro.
  8. Proporcione los siguientes detalles de configuración:
    • Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps WAF Logs).
    • Destino: seleccione Google Cloud Storage.
    • Segmento: introduce el nombre del segmento de GCS (por ejemplo, edgio-waf-logs).
    • Prefijo: opcional. Introduce un prefijo para la organización de los registros (por ejemplo, waf/).
    • Formato de registro: selecciona JSON (opción predeterminada).
    • Reducir la frecuencia de muestreo de los registros: deja esta opción desmarcada para recibir los registros completos.
  9. En la sección Campos, asegúrate de que estén seleccionados todos los campos obligatorios. Entre los campos clave se incluyen los siguientes:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • Referente
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Haz clic en Guardar.

Configurar un feed en Google SecOps para ingerir registros de Edgio WAF

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir nuevo.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Edgio WAF Logs).
  4. Seleccione Google Cloud Storage V2 como Tipo de origen.
  5. Seleccione Edgio WAF como Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio.
  7. Copia la dirección de correo de la cuenta de servicio que se muestra.
  8. Haz clic en Siguiente.
  9. Especifique los valores de los siguientes parámetros de entrada:
    • URI del segmento de almacenamiento: introduce el URI de tu segmento de Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
  10. Haz clic en Siguiente.
  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Conceder permisos a la cuenta de servicio de Google SecOps

  1. Vuelve a la consola deGoogle Cloud .
  2. Ve a tu segmento de Cloud Storage.
  3. Haz clic en Permisos.
  4. Haz clic en Conceder acceso.
  5. En el campo Nuevos principales, pega el correo de la cuenta de servicio que has copiado de Google SecOps.
  6. En la lista Selecciona un rol, elige Visor de objetos de Storage.
  7. Si ha seleccionado opciones de eliminación en la configuración del feed, también debe conceder el rol Administrador de objetos de almacenamiento.
  8. Haz clic en Guardar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.