Collecter les journaux Edgio WAF

Compatible avec :

Ce guide explique comment ingérer les journaux Edgio Web Application Firewall (WAF) dans Google Security Operations à l'aide de Google Cloud Storage. Le service Real-Time Log Delivery (RTLD) d'Edgio peut diffuser automatiquement des données de journal WAF compressées directement dans un bucket Cloud Storage, que Google SecOps peut ensuite ingérer pour l'analyse et la surveillance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps.
  • Un accès privilégié à Google Cloud Platform.
  • Un accès privilégié à la console Edgio.
  • Une propriété Edgio active avec WAF activé.

Configurer un Google Cloud bucketStorage

  1. Connectez-vous à la Google Cloud console.
  2. Accédez à Cloud Storage > Buckets.
  3. Cliquez sur Créer.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom de bucket unique (par exemple, edgio-waf-logs).
    • Type d'emplacement : sélectionnez Région ou Multirégion selon vos besoins.
    • Emplacement : sélectionnez l'emplacement le plus proche de votre déploiement Edgio.
    • Classe de stockage : sélectionnez Standard.
    • Contrôle des accès : sélectionnez Uniforme.
    • Chiffrement : sélectionnez Google-owned and Google-managed encryption key.
  5. Cliquez sur Créer.

Configurer les autorisations de bucket pour Edgio

  1. Dans la Google Cloud console, accédez au bucket que vous venez de créer.
  2. Cliquez sur Autorisations.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, ajoutez : real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Dans la liste Sélectionner un rôle, sélectionnez Créateur d'objets de l'espace de stockage.
  6. Cliquez sur Enregistrer.

Configurer la diffusion de journaux en temps réel Edgio

  1. Connectez-vous à la console Edgio.
  2. Sélectionnez votre espace privé ou votre organisation.
  3. Sélectionnez la propriété requise.
  4. Dans le volet de gauche, sélectionnez l'environnement requis.
  5. Dans le volet de gauche, cliquez sur Realtime Log Delivery (Diffusion de journaux en temps réel).
  6. Cliquez sur + New Log Delivery Profile (+ Nouveau profil de diffusion de journaux).
  7. Sélectionnez WAF comme type de journal.
  8. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Google SecOps WAF Logs).
    • Destination : sélectionnez Google Cloud Storage.
    • Bucket : saisissez le nom de votre bucket GCS (par exemple, edgio-waf-logs).
    • Préfixe : facultatif. Saisissez un préfixe pour l'organisation des journaux (par exemple, waf/).
    • Format de journal : sélectionnez JSON (par défaut).
    • Sous-échantillonner les journaux : laissez la case décochée pour une diffusion complète des journaux.
  9. Dans la section Champs, assurez-vous que tous les champs obligatoires sont sélectionnés. Voici les principaux champs :
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • hôte
    • referer
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux Edgio WAF

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Feed name (Nom du flux), saisissez un nom pour le flux (par exemple, Edgio WAF Logs).
  4. Sélectionnez Google Cloud Storage V2 comme Type de source.
  5. Sélectionnez Edgio WAF comme Type de journal.
  6. Cliquez sur Get Service Account (Obtenir le compte de service).
  7. Copiez l'adresse e-mail du compte de service affichée.
  8. Cliquez sur Suivant.
  9. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI du bucket de stockage : saisissez l'URI de votre bucket Cloud Storage (format : gs://edgio-waf-logs/waf/).
    • Source deletion options (Options de suppression de la source) : sélectionnez l'option de suppression de votre choix.
    • Maximum File Age (Âge maximal des fichiers) : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Ingestion labels (Libellés d'ingestion) : libellé à appliquer aux événements de ce flux.
  10. Cliquez sur Suivant.
  11. Vérifiez la configuration de votre nouveau flux dans l'écran Finalize (Finaliser), puis cliquez sur Envoyer.

Accorder des autorisations au compte de service Google SecOps

  1. Revenez à la Google Cloud console.
  2. Accédez à votre bucket Cloud Storage.
  3. Cliquez sur Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Dans le champ Nouveaux comptes principaux, collez l'adresse e-mail du compte de service que vous avez copiée à partir de Google SecOps.
  6. Dans la liste Sélectionner un rôle, sélectionnez Lecteur des objets de l'espace de stockage.
  7. Si vous avez sélectionné des options de suppression dans la configuration du flux, accordez également le rôle Administrateur des objets de l'espace de stockage.
  8. Cliquez sur Enregistrer.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.