Raccogliere i log WAF di Edgio

Supportato in:

Questa guida spiega come importare i log del WAF (Web Application Firewall) di Edgio in Google Security Operations utilizzando Google Cloud Storage. Il servizio Real-Time Log Delivery (RTLD) di Edgio può fornire automaticamente dati di log WAF compressi direttamente a un bucket Cloud Storage, che Google SecOps può quindi importare per l'analisi e il monitoraggio.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps.
  • Accesso privilegiato alla piattaforma Google Cloud .
  • Accesso privilegiato alla console Edgio.
  • Una proprietà Edgio attiva con WAF abilitato.

Configura un bucket di archiviazione Google Cloud

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Cloud Storage > Bucket.
  3. Fai clic su Crea.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome bucket univoco (ad esempio edgio-waf-logs).
    • Tipo di località: seleziona Regione o Più regioni in base ai tuoi requisiti.
    • Posizione: seleziona la posizione più vicina al tuo deployment Edgio.
    • Classe di archiviazione: seleziona Standard.
    • Controllo dell'accesso: seleziona Uniforme.
    • Crittografia: seleziona Google-owned and Google-managed encryption key.
  5. Fai clic su Crea.

Configurare le autorizzazioni bucket per Edgio

  1. Nella consoleGoogle Cloud , vai al bucket appena creato.
  2. Fai clic su Autorizzazioni.
  3. Fai clic su Concedi l'accesso.
  4. Nel campo Nuove entità, aggiungi: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Nell'elenco Seleziona un ruolo, seleziona Storage Object Creator.
  6. Fai clic su Salva.

Configura la distribuzione dei log in tempo reale di Edgio

  1. Accedi alla console Edgio.
  2. Seleziona il tuo spazio privato o la tua organizzazione.
  3. Seleziona la proprietà richiesta.
  4. Nel riquadro a sinistra, seleziona l'ambiente richiesto.
  5. Nel riquadro a sinistra, fai clic su Realtime Log Delivery.
  6. Fai clic su + Nuovo profilo di pubblicazione dei log.
  7. Seleziona WAF come tipo di log.
  8. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Google SecOps WAF Logs).
    • Destinazione: seleziona Google Cloud Storage.
    • Bucket: inserisci il nome del bucket GCS (ad esempio edgio-waf-logs).
    • Prefisso: facoltativo. Inserisci un prefisso per l'organizzazione dei log (ad esempio, waf/).
    • Formato log: seleziona JSON (impostazione predefinita).
    • Sottocampiona i log: lascia deselezionata questa opzione per la distribuzione completa dei log.
  9. Nella sezione Campi, assicurati che siano selezionati tutti i campi obbligatori. I campi chiave includono:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • referer
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log WAF di Edgio

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Edgio WAF Logs).
  4. Seleziona Google Cloud Storage V2 come Tipo di origine.
  5. Seleziona Edgio WAF come Tipo di log.
  6. Fai clic su Ottieni account di servizio.
  7. Copia l'indirizzo email del account di servizio visualizzato.
  8. Fai clic su Avanti.
  9. Specifica i valori per i seguenti parametri di input:
    • URI bucket di archiviazione: inserisci l'URI del bucket Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  10. Fai clic su Avanti.
  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni al account di servizio Google SecOps

  1. Torna alla consoleGoogle Cloud .
  2. Vai al bucket Cloud Storage.
  3. Fai clic su Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Nel campo Nuove entità, incolla l'indirizzo email del account di servizio che hai copiato da Google SecOps.
  6. Nell'elenco Seleziona un ruolo, seleziona Visualizzatore oggetti Storage.
  7. Se hai selezionato le opzioni di eliminazione nella configurazione del feed, concedi anche Storage Object Admin.
  8. Fai clic su Salva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.