Recolha registos do WAF da Edgio

Compatível com:

Este guia explica como carregar registos da firewall de aplicação Web (WAF) da Edgio para o Google Security Operations através do Google Cloud Storage. O serviço de entrega de registos em tempo real (RTLD) da Edgio pode entregar automaticamente dados de registos do WAF comprimidos diretamente a um contentor do Cloud Storage, que o Google SecOps pode, em seguida, carregar para análise e monitorização.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps.
  • Acesso privilegiado à Google Cloud plataforma.
  • Acesso privilegiado à consola do Edgio.
  • Uma propriedade do Edgio ativa com a WAF ativada.

Configure um contentor de armazenamento do Google Cloud

  1. Inicie sessão na Google Cloud consola.
  2. Aceda a Cloud Storage > Contentores.
  3. Clique em Criar.
  4. Indique os seguintes detalhes de configuração:
    • Nome: introduza um nome exclusivo do contentor (por exemplo, edgio-waf-logs).
    • Tipo de localização: selecione Região ou Várias regiões com base nos seus requisitos.
    • Localização: selecione a localização mais próxima da sua implementação do Edgio.
    • Classe de armazenamento: selecione Standard.
    • Controlo de acesso: selecione Uniforme.
    • Encriptação: selecione Google-owned and Google-managed encryption key.
  5. Clique em Criar.

Configure as autorizações do contentor para o Edgio

  1. Na Google Cloud consola, aceda ao contentor criado recentemente.
  2. Clique em Autorizações.
  3. Clique em Conceder acesso.
  4. No campo Novos responsáveis, adicione: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Na lista Selecionar uma função, selecione Criador de objetos de armazenamento.
  6. Clique em Guardar.

Configure o fornecimento de registos em tempo real da Edgio

  1. Inicie sessão na Edgio Console.
  2. Selecione o seu espaço privado ou organização.
  3. Selecione a propriedade necessária.
  4. No painel do lado esquerdo, selecione o ambiente necessário.
  5. No painel do lado esquerdo, clique em Entrega de registos em tempo real.
  6. Clique em + Novo perfil de fornecimento de registos.
  7. Selecione WAF como o tipo de registo.
  8. Indique os seguintes detalhes de configuração:
    • Nome: introduza um nome descritivo (por exemplo, Google SecOps WAF Logs).
    • Destino: selecione Google Cloud Storage.
    • Contentor: introduza o nome do contentor do GCS (por exemplo, edgio-waf-logs).
    • Prefixo: opcional. Introduza um prefixo para a organização de registos (por exemplo, waf/).
    • Formato de registo: selecione JSON (predefinição).
    • Reduzir a amostragem dos registos: deixe a caixa desmarcada para a entrega de registos completa.
  9. Na secção Campos, certifique-se de que todos os campos obrigatórios estão selecionados. Os campos principais incluem:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • anfitrião
    • referenciador
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Clique em Guardar.

Configure um feed no Google SecOps para carregar registos do WAF do Edgio

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Edgio WAF Logs).
  4. Selecione Google Cloud Storage V2 como Tipo de origem.
  5. Selecione Edgio WAF como o Tipo de registo.
  6. Clique em Obter conta de serviço.
  7. Copie o email da conta de serviço apresentado.
  8. Clicar em Seguinte.
  9. Especifique valores para os seguintes parâmetros de entrada:
    • URI do contentor de armazenamento: introduza o URI do contentor do Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
  10. Clicar em Seguinte.
  11. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Conceda autorizações à conta de serviço do Google SecOps

  1. Regresse à Google Cloud consola.
  2. Aceda ao seu contentor do Cloud Storage.
  3. Clique em Autorizações.
  4. Clique em Conceder acesso.
  5. No campo Novos membros, cole o email da conta de serviço que copiou do Google SecOps.
  6. Na lista Selecionar uma função, selecione Visualizador de objetos de armazenamento.
  7. Se selecionou opções de eliminação na configuração do feed, conceda também a função Administrador de objetos de armazenamento.
  8. Clique em Guardar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.