Coletar registros do WAF do Edgio

Compatível com:

Este guia explica como ingerir registros do firewall de aplicativos da Web (WAF) do Edgio no Google Security Operations usando o Google Cloud Storage. O serviço de entrega de registros em tempo real (RTLD, na sigla em inglês) da Edgio pode entregar automaticamente dados de registros compactados do WAF diretamente a um bucket do Cloud Storage, que o Google SecOps pode ingerir para análise e monitoramento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps.
  • Acesso privilegiado à plataforma Google Cloud .
  • Acesso privilegiado ao console da Edgio.
  • Uma propriedade ativa do Edgio com o WAF ativado.

Configurar um Google Cloud bucket de armazenamento

  1. Faça login no console doGoogle Cloud .
  2. Acesse Cloud Storage > Buckets.
  3. Clique em Criar.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome de bucket exclusivo (por exemplo, edgio-waf-logs).
    • Tipo de local: selecione Região ou Multirregião com base nos seus requisitos.
    • Local: selecione o local mais próximo da sua implantação do Edgio.
    • Classe de armazenamento: selecione Padrão.
    • Controle de acesso: selecione Uniforme.
    • Criptografia: selecione Google-owned and Google-managed encryption key.
  5. Clique em Criar.

Configurar permissões de bucket para o Edgio

  1. No console doGoogle Cloud , acesse o bucket recém-criado.
  2. Clique em Permissões.
  3. Clique em Permitir acesso.
  4. No campo Novos principais, adicione: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Na lista Selecionar um papel, selecione Criador de objetos do Storage.
  6. Clique em Salvar.

Configurar a entrega de registros em tempo real do Edgio

  1. Faça login no Edgio Console.
  2. Selecione seu espaço privado ou organização.
  3. Selecione a propriedade necessária.
  4. No painel à esquerda, selecione o ambiente necessário.
  5. No painel à esquerda, clique em Entrega de registros em tempo real.
  6. Clique em + Novo perfil de entrega de registros.
  7. Selecione WAF como o tipo de registro.
  8. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo, por exemplo, Google SecOps WAF Logs.
    • Destino: selecione Google Cloud Storage.
    • Bucket: insira o nome do bucket do GCS (por exemplo, edgio-waf-logs).
    • Prefixo: opcional. Insira um prefixo para a organização de registros (por exemplo, waf/).
    • Formato do registro: selecione JSON (padrão).
    • Reduzir a taxa de amostragem dos registros: deixe desmarcada para o envio completo de registros.
  9. Na seção Campos, verifique se todos os campos obrigatórios estão selecionados. Os campos principais incluem:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • referenciador
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do WAF do Edgio

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Edgio WAF Logs).
  4. Selecione Google Cloud Storage V2 como o Tipo de origem.
  5. Selecione WAF da Edgio como o Tipo de registro.
  6. Clique em Receber conta de serviço.
  7. Copie o e-mail da conta de serviço exibido.
  8. Clique em Próxima.
  9. Especifique valores para os seguintes parâmetros de entrada:
    • URI do bucket de armazenamento: insira o URI do bucket do Cloud Storage (formato: gs://edgio-waf-logs/waf/).
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  10. Clique em Próxima.
  11. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Conceder permissões à conta de serviço do Google SecOps

  1. Volte para o console doGoogle Cloud .
  2. Acesse o bucket do Cloud Storage.
  3. Clique em Permissões.
  4. Clique em Permitir acesso.
  5. No campo Novos principais, cole o e-mail da conta de serviço que você copiou do Google SecOps.
  6. Na lista Selecionar um papel, escolha Visualizador de objetos do Storage.
  7. Se você selecionou opções de exclusão na configuração do feed, também conceda o papel Administrador de objetos do Storage.
  8. Clique em Salvar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.