Edgio WAF のログを収集する

以下でサポートされています。

このガイドでは、Google Cloud Storage を使用して Edgio ウェブ アプリケーション ファイアウォール(WAF)のログを Google Security Operations に取り込む方法について説明します。Edgio のリアルタイム ログ配信(RTLD)サービスは、圧縮された WAF ログデータを Cloud Storage バケットに直接自動的に配信できます。Google SecOps は、このログデータを取り込んで分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス。
  • プラットフォームへの特権アクセス。 Google Cloud
  • Edgio Console への特権アクセス。
  • WAF が有効になっているアクティブな Edgio プロパティ。

Storage バケットを構成する Google Cloud

  1. Google Cloud コンソール にログインします。
  2. Cloud Storage > バケット に移動します。
  3. [作成] をクリックします。
  4. 次の構成情報を提供してください。
    • 名前: 一意のバケット名(edgio-waf-logs など)を入力します。
    • [ロケーション タイプ] : 要件に応じて、[リージョン] または [マルチリージョン] を選択します。
    • ロケーション: Edgio デプロイメントに最も近いロケーションを選択します。
    • ストレージ クラス: [Standard] を選択します。
    • アクセス制御: [均一] を選択します。
    • **暗号化**: [Google-owned and Google-managed encryption key] を選択します。
  5. [作成] をクリックします。

Edgio のバケット権限を構成する

  1. Google Cloud コンソールで、新しく作成したバケットに移動します。
  2. [権限] をクリックします。
  3. [アクセス権を付与] をクリックします。
  4. [新しいプリンシパル] フィールドに、real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com を追加します。
  5. [ロールを選択] リストで、[ストレージ オブジェクト作成者] を選択します。
  6. [保存] をクリックします。

Edgio リアルタイム ログ配信を構成する

  1. Edgio Console にログインします。
  2. プライベート スペース または組織 を選択します。
  3. 必要なプロパティ を選択します。
  4. 左側のペインで、必要な環境 を選択します。
  5. 左側のペインで、[リアルタイム ログ配信] をクリックします。
  6. [+ 新しいログ配信プロファイル] をクリックします。
  7. ログタイプとして [WAF] を選択します。
  8. 次の構成情報を提供してください。
    • 名前: わかりやすい名前(Google SecOps WAF Logs など)を入力します。
    • [宛先]: [Google Cloud Storage] を選択します。
    • バケット: GCS バケット名(edgio-waf-logs など)を入力します。
    • 接頭辞: 省略可。ログの整理に使用する接頭辞(waf/ など)を入力します。
    • ログ形式: [JSON](デフォルト)を選択します。
    • ログをダウンサンプリングする: ログを完全に配信する場合は、チェックを外します。
  9. [フィールド] セクションで、必要なフィールドがすべて選択されていることを確認します。主なフィールドは次のとおりです。
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • ホスト
    • リファラー
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. [保存] をクリックします。

Edgio WAF のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前(Edgio WAF Logs など)を入力します。
  4. [ソースタイプ] として [Google Cloud Storage V2] を選択します。
  5. [ログタイプ] として [Edgio WAF] を選択します。
  6. [サービス アカウントを取得する] をクリックします。
  7. 表示されたサービス アカウントのメールアドレスをコピーします。
  8. [次へ] をクリックします。
  9. 次の入力パラメータの値を指定します。
    • Storage バケット URI: Cloud Storage バケット URI(形式: gs://edgio-waf-logs/waf/)を入力します。
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • Maximum File Age: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  10. [次へ] をクリックします。
  11. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

Google SecOps サービス アカウントに権限を付与する

  1. Google Cloud コンソール に戻ります。
  2. Cloud Storage バケットに移動します。
  3. [権限] をクリックします。
  4. [アクセス権を付与] をクリックします。
  5. [新しいプリンシパル] フィールドに、Google SecOps からコピーしたサービス アカウントのメールアドレスを貼り付けます。
  6. [ロールを選択] リストで、[ストレージ オブジェクト閲覧者] を選択します。
  7. フィード構成で削除オプションを選択した場合は、[ストレージ オブジェクト管理者] も付与します。
  8. [保存] をクリックします。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。