Collecter les journaux Edgio WAF

Compatible avec :

Ce guide explique comment ingérer les journaux Edgio Web Application Firewall (WAF) dans Google Security Operations à l'aide de Google Cloud Storage. Le service Real-Time Log Delivery (RTLD) d'Edgio peut fournir automatiquement des données de journaux WAF compressées directement dans un bucket Cloud Storage, que Google SecOps peut ensuite ingérer pour l'analyse et la surveillance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps.
  • Accès privilégié à la plate-forme Google Cloud .
  • Accès privilégié à la console Edgio.
  • Une propriété Edgio active avec WAF activé.

Configurer un bucket de stockage Google Cloud

  1. Connectez-vous à la consoleGoogle Cloud .
  2. Accédez à Cloud Storage > Buckets.
  3. Cliquez sur Créer.
  4. Fournissez les informations de configuration suivantes :
    • Name (Nom) : saisissez un nom de bucket unique (par exemple, edgio-waf-logs).
    • Type d'emplacement : sélectionnez Région ou Multirégional selon vos besoins.
    • Emplacement : sélectionnez l'emplacement le plus proche de votre déploiement Edgio.
    • Classe de stockage : sélectionnez Standard.
    • Contrôle des accès : sélectionnez Uniforme.
    • Chiffrement : sélectionnez Google-owned and Google-managed encryption key.
  5. Cliquez sur Créer.

Configurer les autorisations de bucket pour Edgio

  1. Dans la consoleGoogle Cloud , accédez au bucket que vous venez de créer.
  2. Cliquez sur Autorisations.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, ajoutez real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com.
  5. Dans la liste Sélectionner un rôle, sélectionnez Créateur d'objets Storage.
  6. Cliquez sur Enregistrer.

Configurer la diffusion des journaux en temps réel Edgio

  1. Connectez-vous à la console Edgio.
  2. Sélectionnez votre espace privé ou votre organisation.
  3. Sélectionnez la propriété requise.
  4. Dans le volet de gauche, sélectionnez l'environnement requis.
  5. Dans le volet de gauche, cliquez sur Realtime Log Delivery (Distribution des journaux en temps réel).
  6. Cliquez sur + Nouveau profil de diffusion des journaux.
  7. Sélectionnez WAF comme type de journal.
  8. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Google SecOps WAF Logs).
    • Destination : sélectionnez Google Cloud Storage.
    • Bucket : saisissez le nom de votre bucket GCS (par exemple, edgio-waf-logs).
    • Préfixe : facultatif. Saisissez un préfixe pour l'organisation des journaux (par exemple, waf/).
    • Format du journal : sélectionnez JSON (par défaut).
    • Sous-échantillonner les journaux : laissez cette option décochée pour recevoir tous les journaux.
  9. Dans la section Champs, assurez-vous que tous les champs obligatoires sont sélectionnés. Voici quelques-uns des champs clés :
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • hôte
    • URL de provenance
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux Edgio WAF

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Edgio WAF Logs).
  4. Sélectionnez Google Cloud Storage V2 comme Type de source.
  5. Sélectionnez Edgio WAF comme Type de journal.
  6. Cliquez sur Obtenir un compte de service.
  7. Copiez l'adresse e-mail du compte de service affichée.
  8. Cliquez sur Suivant.
  9. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI du bucket de stockage : saisissez l'URI de votre bucket Cloud Storage (format : gs://edgio-waf-logs/waf/).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
  10. Cliquez sur Suivant.
  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations au compte de service Google SecOps

  1. Revenez à la consoleGoogle Cloud .
  2. Accédez à votre bucket Cloud Storage.
  3. Cliquez sur Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Dans le champ Nouveaux comptes principaux, collez l'adresse e-mail du compte de service que vous avez copié depuis Google SecOps.
  6. Dans la liste Sélectionner un rôle, sélectionnez Lecteur des objets Storage.
  7. Si vous avez sélectionné des options de suppression dans la configuration du flux, accordez également le rôle Administrateur des objets de l'espace de stockage.
  8. Cliquez sur Enregistrer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.