Recopila registros del WAF de Edgio

Compatible con:

En esta guía, se explica cómo transferir registros del firewall de aplicaciones web (WAF) de Edgio a Google Security Operations con Google Cloud Storage. El servicio de entrega de registros en tiempo real (RTLD) de Edgio puede entregar automáticamente datos de registros comprimidos del WAF directamente a un bucket de Cloud Storage, que Google SecOps puede transferir para su análisis y supervisión.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Es una instancia de Google SecOps.
  • Acceso con privilegios a la Google Cloud plataforma.
  • Acceso con privilegios a la consola de Edgio
  • Una propiedad activa de Edgio con el WAF habilitado.

Configura un Google Cloud bucket de Storage

  1. Accede a la consola deGoogle Cloud .
  2. Ve a Cloud Storage > Buckets.
  3. Haz clic en Crear.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre de bucket único (por ejemplo, edgio-waf-logs).
    • Tipo de ubicación: Selecciona Región o Multirregión según tus requisitos.
    • Ubicación: Selecciona la ubicación más cercana a tu implementación de Edgio.
    • Clase de almacenamiento: Selecciona Estándar.
    • Control de acceso: Selecciona Uniforme.
    • Encriptación: Selecciona Google-owned and Google-managed encryption key.
  5. Haz clic en Crear.

Configura los permisos del bucket para Edgio

  1. En la Google Cloud console, ve al bucket que acabas de crear.
  2. Haz clic en Permisos.
  3. Haz clic en Otorgar acceso.
  4. En el campo Principales nuevas, agrega real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com.
  5. En la lista Seleccionar un rol, selecciona Creador de objetos de Storage.
  6. Haz clic en Guardar.

Configura la entrega de registros en tiempo real de Edgio

  1. Accede a Edgio Console.
  2. Selecciona tu espacio privado o organización.
  3. Selecciona la propiedad requerida.
  4. En el panel izquierdo, selecciona el entorno requerido.
  5. En el panel de la izquierda, haz clic en Realtime Log Delivery.
  6. Haz clic en + Nuevo perfil de entrega de registros.
  7. Selecciona WAF como el tipo de registro.
  8. Proporciona los siguientes detalles de configuración:
    • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps WAF Logs).
    • Destino: Selecciona Google Cloud Storage.
    • Bucket: Ingresa el nombre de tu bucket de GCS (por ejemplo, edgio-waf-logs).
    • Prefijo: Opcional. Ingresa un prefijo para la organización de registros (por ejemplo, waf/).
    • Formato de registro: Selecciona JSON (opción predeterminada).
    • Reducir la frecuencia de muestreo de los registros: Deja esta opción sin marcar para recibir todos los registros.
  9. En la sección Campos, asegúrate de que estén seleccionados todos los campos obligatorios. Los campos clave incluyen los siguientes:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • Referencia
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros del WAF de Edgio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Edgio WAF Logs).
  4. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  5. Selecciona Edgio WAF como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio.
  7. Copia el correo electrónico de la cuenta de servicio que se muestra.
  8. Haz clic en Siguiente.
  9. Especifica valores para los siguientes parámetros de entrada:
    • URI del bucket de almacenamiento: Ingresa la URI de tu bucket de Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
  10. Haz clic en Siguiente.
  11. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Otorga permisos a la cuenta de servicio de Google SecOps

  1. Regresa a la consola deGoogle Cloud .
  2. Ve a tu bucket de Cloud Storage.
  3. Haz clic en Permisos.
  4. Haz clic en Otorgar acceso.
  5. En el campo Principales nuevas, pega el correo electrónico de la cuenta de servicio que copiaste de Google SecOps.
  6. En la lista Seleccionar un rol, selecciona Visualizador de objetos de Storage.
  7. Si seleccionaste opciones de eliminación en la configuración del feed, también otorga el rol de Administrador de objetos de almacenamiento.
  8. Haz clic en Guardar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.