收集 Edgio WAF 記錄

支援的國家/地區:

本指南說明如何使用 Google Cloud Storage,將 Edgio 網頁應用程式防火牆 (WAF) 記錄擷取至 Google Security Operations。Edgio 的 Real-Time Log Delivery (RTLD) 服務可自動將壓縮的 WAF 記錄資料直接傳送至 Cloud Storage 值區,Google SecOps 隨後即可擷取這些資料,進行分析和監控。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • 具備 Google Cloud 平台特殊存取權。
  • Edgio 控制台的特殊存取權。
  • 已啟用 WAF 的有效 Edgio 資源。

設定 Google Cloud Storage bucket

  1. 登入Google Cloud 控制台
  2. 依序前往「Cloud Storage」>「Buckets」
  3. 點選「建立」
  4. 提供下列設定詳細資料:
    • 名稱:輸入不重複的值區名稱 (例如 edgio-waf-logs)。
    • 「位置類型」:根據需求選取「區域」或「多區域」
    • 位置:選取最接近 Edgio 部署作業的位置。
    • 儲存空間級別:選取「Standard」
    • 存取控管:選取「統一」
    • 加密:選取 Google-owned and Google-managed encryption key
  5. 點選「建立」

為 Edgio 設定 bucket 權限

  1. Google Cloud 控制台中,前往新建立的 bucket。
  2. 按一下「權限」
  3. 點選「授予存取權」。
  4. 在「New principals」(新增主體) 欄位中新增:real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. 在「Select a role」(請選擇角色) 清單中,選取「Storage Object Creator」(Storage 物件建立者)
  6. 按一下 [儲存]

設定 Edgio 即時記錄傳送功能

  1. 登入 Edgio 控制台
  2. 選取私人空間機構
  3. 選取所需資源
  4. 在左側窗格中選取所需環境
  5. 按一下左窗格中的「即時記錄檔傳送」
  6. 按一下「+ New Log Delivery Profile」(+ 新增記錄檔傳送設定檔)
  7. 選取「WAF」WAF做為記錄類型。
  8. 提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Google SecOps WAF Logs)。
    • 目的地:選取「Google Cloud Storage」
    • Bucket:輸入 GCS bucket 名稱 (例如 edgio-waf-logs)。
    • 前置字元:選用。輸入記錄機構的前置字串 (例如 waf/)。
    • 「記錄格式」:選取「JSON」 (預設)。
    • 記錄檔降採樣:如要完整傳送記錄檔,請不要勾選這個選項。
  9. 在「欄位」部分,確認已選取所有必填欄位。主要欄位包括:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • 主機
    • 參照網址
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • 時間戳記
    • 網址
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. 按一下 [儲存]

在 Google SecOps 中設定動態饋給,擷取 Edgio WAF 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Edgio WAF Logs)。
  4. 選取「Google Cloud Storage V2」做為「來源類型」
  5. 選取「Edgio WAF」做為「記錄類型」
  6. 按一下「取得服務帳戶」
  7. 複製顯示的服務帳戶電子郵件地址。
  8. 點選「下一步」
  9. 指定下列輸入參數的值:
    • 「儲存空間值區 URI」:輸入 Cloud Storage 值區 URI (格式:gs://edgio-waf-logs/waf/)。
    • 來源刪除選項:根據偏好設定選取刪除選項。
    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
    • 資產命名空間資產命名空間
    • 擷取標籤:要套用至這個動態饋給事件的標籤。
  10. 點選「下一步」
  11. 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」

將權限授予 Google SecOps 服務帳戶

  1. 返回Google Cloud 控制台
  2. 前往 Cloud Storage bucket。
  3. 按一下「權限」
  4. 點選「授予存取權」。
  5. 在「新增主體」欄位,貼上從 Google SecOps 複製的服務帳戶電子郵件地址。
  6. 在「Select a role」(請選擇角色) 清單中,選取「Storage Object Viewer」(Storage 物件檢視者)
  7. 如果已在動態饋給設定中選取刪除選項,請一併授予「Storage 物件管理員」
  8. 按一下 [儲存]

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。