收集 Edgio WAF 日志

支持:

本指南介绍了如何使用 Google Cloud Storage 将 Edgio Web 应用防火墙 (WAF) 日志注入到 Google Security Operations。Edgio 的实时日志传送 (RTLD) 服务可自动将压缩的 WAF 日志数据直接传送到 Cloud Storage 存储桶,然后 Google SecOps 可以注入这些日志数据以进行分析和监控。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例。
  • 拥有对 Google Cloud Platform 的特权访问权限。
  • 拥有对 Edgio 控制台的特权访问权限。
  • 已启用 WAF 的有效 Edgio 属性。

配置 Google Cloud Storage 存储桶

  1. 登录Google Cloud 控制台
  2. 前往 Cloud Storage > 存储分区
  3. 点击创建
  4. 提供以下配置详细信息:
    • 名称:输入唯一的存储桶名称(例如 edgio-waf-logs)。
    • 位置类型:根据您的要求选择区域多区域
    • 位置:选择距离您的 Edgio 部署最近的位置。
    • 存储类别:选择标准
    • 访问权限控制:选择统一
    • 加密:选择 Google-owned and Google-managed encryption key
  5. 点击创建

为 Edgio 配置存储桶权限

  1. Google Cloud 控制台 中,前往新创建的存储桶。
  2. 点击权限
  3. 点击授予访问权限
  4. 新的主账号 字段中,添加:real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. 选择角色 列表中,选择 Storage Object Creator
  6. 点击保存

配置 Edgio 实时日志传送

  1. 登录 Edgio 控制台
  2. 选择您的私密空间组织
  3. 选择所需的属性
  4. 在左侧窗格中,选择所需的环境
  5. 在左侧窗格中,点击 Realtime Log Delivery
  6. 点击 + New Log Delivery Profile
  7. 选择 WAF 作为日志类型。
  8. 提供以下配置详细信息:
    • 名称:输入描述性名称(例如 Google SecOps WAF Logs)。
    • 目标位置:选择 Google Cloud Storage
    • 存储桶:输入您的 GCS 存储桶名称(例如 edgio-waf-logs)。
    • 前缀:可选。输入日志组织的前缀(例如 waf/)。
    • 日志格式:选择JSON(默认)。
    • 对日志进行下采样:如需传送完整日志,请保持未选中状态。
  9. 字段 部分,确保选中所有必填字段。关键字段包括:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • 主机
    • 引荐来源网址
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • 时间戳
    • 网址
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. 点击保存

在 Google SecOps 中配置 Feed 以注入 Edgio WAF 日志

  1. 前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称 字段中,输入 Feed 的名称(例如 Edgio WAF Logs)。
  4. 选择 Google Cloud Storage V2 作为来源类型
  5. 选择 Edgio WAF 作为日志类型
  6. 点击获取服务账号
  7. 复制显示的服务帐号电子邮件地址。
  8. 点击下一步
  9. 为以下输入参数指定值:
    • Storage 存储分区 URI:输入您的 Cloud Storage 存储桶 URI(格式:gs://edgio-waf-logs/waf/)。
    • 来源删除选项:根据您的偏好选择删除选项。
    • 最长文件存在时间:包含在过去指定天数内修改的文件。默认值为 180 天。
    • 资产命名空间资产命名空间
    • 提取标签:要应用于此 Feed 中的事件的标签。
  10. 点击下一步
  11. 最终确定 屏幕中检查新的 Feed 配置,然后点击提交

为 Google SecOps 服务帐号授予权限

  1. 返回到Google Cloud 控制台
  2. 前往您的 Cloud Storage 存储桶。
  3. 点击权限
  4. 点击授予访问权限
  5. 新的主账号 字段中,粘贴您从 Google SecOps 复制的服务帐号电子邮件地址。
  6. 选择角色 列表中,选择 Storage Object Viewer
  7. 如果您在 Feed 配置中选择了删除选项,请同时授予 Storage Object Admin
  8. 点击保存

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。