Mengumpulkan log Edgio WAF

Didukung di:

Panduan ini menjelaskan cara menyerap log Edgio Web Application Firewall (WAF) ke Google Security Operations menggunakan Google Cloud Storage. Layanan Pengiriman Log Real-Time (RTLD) Edgio dapat secara otomatis mengirimkan data log WAF yang dikompresi langsung ke bucket Cloud Storage, yang kemudian dapat di-ingest oleh Google SecOps untuk analisis dan pemantauan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke Google Cloud Platform.
  • Akses istimewa ke Konsol Edgio.
  • Properti Edgio aktif dengan WAF diaktifkan.

Mengonfigurasi bucket Google Cloud Storage

  1. Login ke Google Cloud console.
  2. Buka Cloud Storage > Buckets.
  3. Klik Buat.
  4. Berikan detail konfigurasi berikut:
    • Name: Masukkan nama bucket yang unik (misalnya, edgio-waf-logs).
    • Jenis lokasi: Pilih Region atau Multi-region berdasarkan persyaratan Anda.
    • Lokasi: Pilih lokasi terdekat dengan deployment Edgio Anda.
    • Kelas penyimpanan: Pilih Standard.
    • Kontrol akses: Pilih Seragam.
    • Enkripsi: Pilih Google-owned and Google-managed encryption key.
  5. Klik Buat.

Mengonfigurasi izin bucket untuk Edgio

  1. Di Google Cloud console, buka bucket yang baru Anda buat.
  2. Klik Izin.
  3. Klik Grant Access.
  4. Di kolom New principals, tambahkan: real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com
  5. Di daftar Select a role, pilih Storage Object Creator.
  6. Klik Simpan.

Mengonfigurasi Pengiriman Log Real-Time Edgio

  1. Login ke Konsol Edgio.
  2. Pilih ruang privasi atau organisasi Anda.
  3. Pilih properti yang diperlukan.
  4. Dari panel kiri, pilih lingkungan yang diperlukan.
  5. Dari panel kiri, klik Pengiriman Log Realtime.
  6. Klik + New Log Delivery Profile.
  7. Pilih WAF sebagai jenis log.
  8. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Google SecOps WAF Logs).
    • Tujuan: Pilih Google Cloud Storage.
    • Bucket: Masukkan nama bucket GCS Anda (misalnya, edgio-waf-logs).
    • Awalan: Opsional. Masukkan awalan untuk organisasi log (misalnya, waf/).
    • Format Log: Pilih JSON (default).
    • Kurangi Frekuensi Pengambilan Sampel Log: Jangan dicentang untuk pengiriman log lengkap.
  9. Di bagian Kolom, pastikan semua kolom wajib diisi dipilih. Kolom utama meliputi:
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • host
    • perujuk
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log WAF Edgio

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Edgio WAF Logs).
  4. Pilih Google Cloud Storage V2 sebagai Jenis sumber.
  5. Pilih Edgio WAF sebagai Jenis log.
  6. Klik Get Service Account.
  7. Salin email akun layanan yang ditampilkan.
  8. Klik Berikutnya.
  9. Tentukan nilai untuk parameter input berikut:
    • URI Bucket Penyimpanan: Masukkan URI bucket Cloud Storage Anda (format: gs://edgio-waf-logs/waf/).
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
  10. Klik Berikutnya.
  11. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin ke akun layanan Google SecOps

  1. Kembali ke Google Cloud console.
  2. Buka bucket Cloud Storage Anda.
  3. Klik Izin.
  4. Klik Grant Access.
  5. Di kolom New principals, tempel email akun layanan yang Anda salin dari Google SecOps.
  6. Dalam daftar Select a role, pilih Storage Object Viewer.
  7. Jika Anda memilih opsi penghapusan dalam konfigurasi feed, berikan juga Storage Object Admin.
  8. Klik Simpan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.