收集 Edgio WAF 日志

支持的平台:

本指南介绍了如何使用 Google Cloud Storage 将 Edgio Web 应用防火墙 (WAF) 日志注入到 Google Security Operations。Edgio 的实时日志传送 (RTLD) 服务可自动将压缩的 WAF 日志数据直接传送到 Cloud Storage 存储桶,然后 Google SecOps 可以注入这些数据以进行分析和监控。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例。
  • 对 Google Cloud 平台的特权访问权限。
  • 对 Edgio 控制台的特权访问权限。
  • 已启用 WAF 的有效 Edgio 媒体资源。

配置 Google Cloud 存储桶

  1. 登录 Google Cloud 控制台
  2. 前往 Cloud Storage > 存储分区
  3. 点击创建
  4. 提供以下配置详细信息:
    • 名称:输入一个唯一的存储桶名称(例如 edgio-waf-logs)。
    • 位置类型:根据您的需求,选择区域多区域
    • 位置:选择离您的 Edgio 部署最近的位置。
    • 存储类别:选择标准
    • 访问权限控制:选择统一
    • 加密:选择 Google-owned and Google-managed encryption key
  5. 点击创建

为 Edgio 配置存储桶权限

  1. Google Cloud 控制台中,前往您新创建的存储桶。
  2. 点击权限
  3. 点击授予访问权限
  4. 新的主账号字段中,添加:real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. 选择角色列表中,选择 Storage Object Creator
  6. 点击保存

配置 Edgio 实时日志传送

  1. 登录 Edgio 控制台
  2. 选择您的私密空间组织
  3. 选择所需的媒体资源
  4. 在左侧窗格中,选择所需环境
  5. 在左侧窗格中,点击实时日志传送
  6. 点击 + 新的日志传送配置文件
  7. 选择 WAF 作为日志类型。
  8. 提供以下配置详细信息:
    • 名称:输入一个描述性名称(例如 Google SecOps WAF Logs)。
    • 目标平台:选择 Google Cloud Storage
    • 存储桶:输入您的 GCS 存储桶名称(例如 edgio-waf-logs)。
    • 前缀:可选。输入日志组织的前缀(例如 waf/)。
    • 日志格式:选择 JSON(默认)。
    • 对日志进行下采样:不勾选此选项可完整交付日志。
  9. 字段部分,确保所有必填字段均已选中。关键字段包括:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • 主机
    • 引荐来源网址
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • 时间戳
    • 网址
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. 点击保存

在 Google SecOps 中配置 Feed 以注入 Edgio WAF 日志

  1. 依次前往 SIEM 设置> Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Edgio WAF Logs)。
  4. 选择 Google Cloud Storage V2 作为来源类型
  5. 选择 Edgio WAF 作为日志类型
  6. 点击获取服务账号
  7. 复制显示的服务账号电子邮件地址。
  8. 点击下一步
  9. 为以下输入参数指定值:
    • 存储分区 URI:输入您的 Cloud Storage 存储桶 URI(格式:gs://edgio-waf-logs/waf/)。
    • 来源删除选项:根据您的偏好选择删除选项。
    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
    • 资产命名空间资产命名空间
    • 注入标签:要应用于此 Feed 中事件的标签。
  10. 点击下一步
  11. 最终确定界面中查看新的 Feed 配置,然后点击提交

为 Google SecOps 服务账号授予权限

  1. 返回到 Google Cloud 控制台
  2. 前往您的 Cloud Storage 存储桶。
  3. 点击权限
  4. 点击授予访问权限
  5. 新的主账号字段中,粘贴您从 Google SecOps 复制的服务账号电子邮件地址。
  6. 选择角色列表中,选择 Storage Object Viewer
  7. 如果您在 Feed 配置中选择了删除选项,还需授予存储对象管理员
  8. 点击保存

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。