Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Radware Web Application Firewall

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Radware Web Application Firewall in Google Security Operations utilizzando l'agente Bindplane.

Radware Web Application Firewall (AppWall) è una soluzione di sicurezza delle applicazioni che genera messaggi syslog per il rilevamento di attacchi web, violazioni delle policy, eventi di mitigazione dei bot e decisioni di controllo dell'accesso. Il parser estrae i campi dai log in formato syslog utilizzando i pattern grok e li mappa al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Radware AppWall o Vision Reporter
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo alla console di gestione di Radware AppWall o Vision Reporter

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota: questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Nota: l'ID cliente è obbligatorio per configurare l'esportatore dell'agente Bindplane.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/radware_firewall:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: RADWARE_FIREWALL
        raw_log_field: body

service:
    pipelines:
        logs/radware_firewall_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/radware_firewall

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: indirizzo IP e porta su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede la root su Linux; utilizza 1514 per non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, consulta Endpoint regionali

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per verificare la presenza di errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare Radware AppWall per inoltrare i log a Bindplane

Puoi configurare l'inoltro di syslog da AppWall standalone, AppWall integrato in Alteon o Vision Reporter.

Opzione 1: AppWall standalone utilizzando Vision Reporter

Accedi alla console di gestione di AppWall.
Vai a Configurazione > Servizi > Supporto Vision > Vision Reporter.
Attiva Invia eventi a Vision Reporter.
Imposta l'IP server sull'indirizzo IP di Vision Reporter.
Imposta la porta (ad esempio, 514).
Imposta il protocollo su UDP.
(Facoltativo) Attiva Invia risposte per inoltrare i dati di risposta.
Fai clic su Salva.

Opzione 2: AppWall integrato in Alteon

Accedi alla console di gestione di Alteon.
Vai a Configurazione > Sicurezza > Sicurezza web > Vision Reporter.
Attiva l'integrazione di Vision Reporter.
Imposta l'IP server sull'indirizzo IP di Vision Reporter.
Imposta la porta (ad esempio, 514).
Imposta il protocollo su UDP.
Fai clic su Salva.

Opzione 3: inoltro di Vision Reporter a Bindplane

Accedi alla console di gestione di Vision Reporter.
Vai a Configurazione > SIEM e logging esterno.
Fai clic su + Aggiungi nuova destinazione SIEM.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome (ad esempio, Google SecOps Forwarder).
- Tipo di esportazione log: seleziona Syslog RFC 5424.
- Server syslog remoto: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci 514.
- Protocollo: seleziona UDP.
Fai clic su Salva.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
`action`	`event.idm.read_only_udm.security_result.action`	Se `action` è "drop", imposta su "BLOCK".
`attack_desc`	`event.idm.read_only_udm.security_result.description`	Mappato direttamente.
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	Mappato direttamente.
`command`	`event.idm.read_only_udm.principal.process.command_line`	Mappato direttamente.
`description`	`event.idm.read_only_udm.security_result.description`	Mappato direttamente se `attack_desc` è vuoto.
`dst_ip`	`event.idm.read_only_udm.target.ip`	Mappato direttamente.
`dst_port`	`event.idm.read_only_udm.target.port`	Mappato direttamente, convertito in numero intero. Imposta su "MACHINE" se `username` è presente e `command` non lo è. Copiato dal campo `collection_time` del log non elaborato. Il valore predefinito è "NETWORK_CONNECTION". Imposta su "GENERIC_EVENT" se mancano `src_ip` o `dst_ip`. Imposta su "USER_LOGIN" se `username` è presente e `command` non lo è. Può essere sostituito dalla logica in base a `attack_id`. Imposta su "RADWARE_FIREWALL". Mappato dal campo `product`. Imposta su "Radware".
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	Mappato direttamente.
`obv_ip`	`event.idm.read_only_udm.observer.ip`	Mappato direttamente.
`product`	`event.idm.read_only_udm.metadata.product_name`	Mappato direttamente.
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	Analizzato utilizzando la logica `parse_ip_protocol.include`.
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Mappato direttamente. Derivato in base al valore di `attack_id`. I valori includono "ACL_VIOLATION", "NETWORK_DENIAL_OF_SERVICE", "NETWORK_SUSPICIOUS", "NETWORK_RECON".
`src_ip`	`event.idm.read_only_udm.principal.ip`	Mappato direttamente.
`src_port`	`event.idm.read_only_udm.principal.port`	Mappato direttamente, convertito in numero intero.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Analizzato e convertito in timestamp.
`username`	`event.idm.read_only_udm.target.user.userid`	Mappato direttamente se `command` non è presente.
`username`	`event.idm.read_only_udm.principal.user.userid`	Mappato direttamente se `command` è presente.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.