Edgio WAF 로그 수집

다음에서 지원:

이 가이드에서는 Google Cloud Storage를 사용하여 Edgio 웹 애플리케이션 방화벽 (WAF) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. Edgio의 실시간 로그 전송(RTLD) 서비스는 압축된 WAF 로그 데이터를 Cloud Storage 버킷으로 직접 자동 전송할 수 있으며, Google SecOps는 이를 수집하여 분석 및 모니터링할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스입니다.
  • Google Cloud 플랫폼에 대한 액세스 권한 관리
  • Edgio Console에 대한 권한 있는 액세스
  • WAF가 사용 설정된 활성 Edgio 속성

스토리지 버킷 구성 Google Cloud

  1. Google Cloud 콘솔에 로그인합니다.
  2. Cloud Storage> 버킷으로 이동합니다.
  3. 만들기를 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 이름: 고유한 버킷 이름을 입력합니다 (예: edgio-waf-logs).
    • 위치 유형: 요구사항에 따라 리전 또는 멀티 리전을 선택합니다.
    • 위치: Edgio 배포와 가장 가까운 위치를 선택합니다.
    • 스토리지 클래스: 표준을 선택합니다.
    • 액세스 제어: 균일을 선택합니다.
    • 암호화: Google-owned and Google-managed encryption key를 선택합니다.
  5. 만들기를 클릭합니다.

Edgio의 버킷 권한 구성

  1. Google Cloud 콘솔에서 새로 만든 버킷으로 이동합니다.
  2. 권한을 클릭합니다.
  3. 액세스 권한 부여를 클릭합니다.
  4. 새 주 구성원 필드에 real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com를 추가합니다.
  5. 역할 선택 목록에서 스토리지 객체 생성자를 선택합니다.
  6. 저장을 클릭합니다.

Edgio 실시간 로그 전송 구성

  1. Edgio Console에 로그인합니다.
  2. 비공개 스페이스 또는 조직을 선택합니다.
  3. 필요한 속성을 선택합니다.
  4. 왼쪽 창에서 필요한 환경을 선택합니다.
  5. 왼쪽 창에서 실시간 로그 전송을 클릭합니다.
  6. + 새 로그 전송 프로필을 클릭합니다.
  7. 로그 유형으로 WAF를 선택합니다.
  8. 다음 구성 세부정보를 제공합니다.
    • 이름: 설명이 포함된 이름을 입력합니다 (예: Google SecOps WAF Logs).
    • 대상: Google Cloud Storage를 선택합니다.
    • 버킷: GCS 버킷 이름 (예: edgio-waf-logs)을 입력합니다.
    • 접두사: 선택사항입니다. 로그 조직의 접두사 (예: waf/)를 입력합니다.
    • 로그 형식: JSON (기본값)을 선택합니다.
    • 로그 다운샘플링: 전체 로그 전송을 위해 선택 해제된 상태로 둡니다.
  9. 필드 섹션에서 모든 필수 필드가 선택되어 있는지 확인합니다. 주요 필드는 다음과 같습니다.
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • 호스트
    • 리퍼러
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • 타임스탬프
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. 저장을 클릭합니다.

Edgio WAF 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정> 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Edgio WAF Logs).
  4. 소스 유형으로 Google Cloud Storage V2를 선택합니다.
  5. 로그 유형으로 Edgio WAF를 선택합니다.
  6. 서비스 계정 가져오기를 클릭합니다.
  7. 표시된 서비스 계정 이메일을 복사합니다.
  8. 다음을 클릭합니다.
  9. 다음 입력 파라미터의 값을 지정합니다.
    • 스토리지 버킷 URI: Cloud Storage 버킷 URI를 입력합니다 (형식: gs://edgio-waf-logs/waf/).
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
  10. 다음을 클릭합니다.
  11. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Google SecOps 서비스 계정에 권한 부여

  1. Google Cloud 콘솔로 돌아갑니다.
  2. Cloud Storage 버킷으로 이동합니다.
  3. 권한을 클릭합니다.
  4. 액세스 권한 부여를 클릭합니다.
  5. 새 주 구성원 필드에 Google SecOps에서 복사한 서비스 계정 이메일을 붙여넣습니다.
  6. 역할 선택 목록에서 스토리지 객체 뷰어를 선택합니다.
  7. 피드 구성에서 삭제 옵션을 선택한 경우 스토리지 객체 관리자 권한도 부여합니다.
  8. 저장을 클릭합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.