Raccogliere i log di Edgio WAF

Supportato in:

Questa guida spiega come importare i log di Edgio Web Application Firewall (WAF) in Google Security Operations utilizzando Google Cloud Storage. Il servizio Real-Time Log Delivery (RTLD) di Edgio può distribuire automaticamente i dati dei log WAF compressi direttamente in un bucket Cloud Storage, che Google SecOps può quindi importare per l'analisi e il monitoraggio.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps.
  • Accesso con privilegi a Google Cloud Platform.
  • Accesso con privilegi alla console Edgio.
  • Una proprietà Edgio attiva con WAF abilitato.

Configurare un bucket di archiviazione Google Cloud

  1. Accedi alla Google Cloud console.
  2. Vai a Cloud Storage > Bucket.
  3. Fai clic su Crea.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome bucket univoco (ad esempio edgio-waf-logs).
    • Tipo di località: seleziona Regione o Multiregionale in base ai tuoi requisiti.
    • Località: seleziona la località più vicina al tuo deployment Edgio.
    • Classe di archiviazione: seleziona Standard.
    • Controllo dell'accesso: seleziona Uniforme.
    • Crittografia: seleziona Google-owned and Google-managed encryption key.
  5. Fai clic su Crea.

Configurare le autorizzazioni del bucket per Edgio

  1. Nella Google Cloud console, vai al bucket appena creato.
  2. Fai clic su Autorizzazioni.
  3. Fai clic su Concedi l'accesso.
  4. Nel campo Nuove entità, aggiungi: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Nell'elenco Seleziona un ruolo, seleziona Creatore oggetti Storage.
  6. Fai clic su Salva.

Configurare la distribuzione dei log in tempo reale di Edgio

  1. Accedi alla console Edgio.
  2. Seleziona il tuo spazio privato o la tua organizzazione.
  3. Seleziona la proprietà richiesta.
  4. Nel riquadro a sinistra, seleziona l'ambiente richiesto.
  5. Nel riquadro a sinistra, fai clic su Distribuzione dei log in tempo reale.
  6. Fai clic su + Nuovo profilo di distribuzione dei log.
  7. Seleziona WAF come tipo di log.
  8. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio Google SecOps WAF Logs).
    • Destinazione: seleziona Google Cloud Storage.
    • Bucket: inserisci il nome del bucket GCS (ad esempio edgio-waf-logs).
    • Prefisso: facoltativo. Inserisci un prefisso per l'organizzazione dei log (ad esempio waf/).
    • Formato log: seleziona JSON (impostazione predefinita).
    • Sottocampiona i log: lascia la casella di controllo deselezionata per la distribuzione completa dei log.
  9. Nella sezione Campi, assicurati che tutti i campi obbligatori siano selezionati. I campi chiave includono:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • referer
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Fai clic su Salva.

Configurare un feed in Google SecOps per importare i log di Edgio WAF

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed , inserisci un nome per il feed (ad esempio Edgio WAF Logs).
  4. Seleziona Google Cloud Storage V2 come Tipo di origine.
  5. Seleziona Edgio WAF come Tipo di log.
  6. Fai clic su Ottieni account di servizio.
  7. Copia l'indirizzo email del account di servizio visualizzato.
  8. Fai clic su Avanti.
  9. Specifica i valori per i seguenti parametri di input:
    • URI bucket di archiviazione: inserisci l'URI del bucket Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  10. Fai clic su Avanti.
  11. Esamina la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedere le autorizzazioni al account di servizio Google SecOps

  1. Torna alla Google Cloud console.
  2. Vai al bucket Cloud Storage.
  3. Fai clic su Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Nel campo Nuove entità, incolla l'indirizzo email del account di servizio che hai copiato da Google SecOps.
  6. Nell'elenco Seleziona un ruolo, seleziona Visualizzatore oggetti Storage.
  7. Se hai selezionato le opzioni di eliminazione nella configurazione del feed, concedi anche Amministratore oggetti Storage.
  8. Fai clic su Salva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.