Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de la WAF de Radware

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar los registros del firewall de aplicaciones web (WAF) de Radware con un reenviador de Operaciones de seguridad de Google. El analizador extrae campos de los mensajes de syslog del firewall de Radware con patrones de grok y los asigna a la UDM. Controla varios formatos de registro, propaga los campos de resultados de seguridad según los detalles del ataque y clasifica los eventos según attack_id, lo que enriquece los datos para la transferencia de Google SecOps.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de que Radware Vision Reporter esté instalado y configurado en AppWall.
Asegúrate de tener acceso con privilegios al portal de WAF de Radware.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de BindPlane para aplicar los cambios.

Para reiniciar el agente de BindPlane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de BindPlane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el WAF Radware AppWall

Para completar las tareas, realiza las siguientes tres configuraciones:

Configura AppWall de forma independiente con Vision Reporter.
Configura el AppWall integrado en Alteon con Vision Reporter (incluye los datos de la solicitud HTTP en los detalles del evento).
Configura Vision Reporter para enviar registros a BindPlane.

Configura AppWall independiente con Vision Reporter

Accede a la consola de Radware WAF con las credenciales de administrador.
Ve a Configuración > Servicios > Compatibilidad con Vision > Vision Reporter.
- Para habilitar el registro, selecciona la casilla de verificación Enviar eventos a Vision Reporter.
- Dirección de Vision Reporter: Ingresa la dirección IP de Vision Reporter.
- Puerto: Ingresa el número de puerto.
- Protocolo: Selecciona UDP o TCP.
- Para incluir datos de respuesta HTTP, selecciona la casilla de verificación Enviar respuestas a Vision Reporter.
Haz clic en Guardar.

Configura AppWall integrado en Alteon con Vision Reporter (preferido para el registro de datos de solicitudes HTTP)

Accede a la consola de Radware WAF con las credenciales de administrador.
Ve a Configuración > Seguridad > Seguridad web > Vision Reporter.
- Para habilitar el registro, selecciona la casilla de verificación Enviar eventos a Vision Reporter.
- Selecciona la casilla de verificación Enviar eventos al generador de informes de Vision.
- Dirección IP de Vision Reporter: Ingresa la dirección IP de Vision Reporter.
- Puerto: Ingresa un número de puerto alto.
- Seguridad: Selecciona UDP o TCP.
Haz clic en Guardar.

Configura Vision Reporter para enviar registros a BindPlane

Accede a la consola de administrador de Radware Vision Reporter.
Ve a Configuración > SIEM y registro externo.
Haz clic en + Agregar nuevo destino de SIEM.
- Nombre de destino: Ingresa Google SecOps Forwarder.
- Log Export Type: Selecciona Syslog (formato RFC 5424) para el registro estructurado.
- En IP del servidor de syslog remoto, ingresa la dirección IP de BindPlane.
- Puerto: Ingresa un puerto en el que BindPlane escucha (por ejemplo, 514 para UDP, 601 para TCP).
- Protocolo: Selecciona UDP o TCP según la configuración de Bindplane.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`event.idm.read_only_udm.security_result.action`	Si `action` es “drop”, configúralo como “BLOCK”.
`attack_desc`	`event.idm.read_only_udm.security_result.description`	Se asignan directamente.
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	Se asignan directamente.
`command`	`event.idm.read_only_udm.principal.process.command_line`	Se asignan directamente.
`description`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente si `attack_desc` está vacío.
`dst_ip`	`event.idm.read_only_udm.target.ip`	Se asignan directamente.
`dst_port`	`event.idm.read_only_udm.target.port`	Se asignan directamente y se convierten en números enteros. Se establece en “MACHINE” si `username` está presente y `command` no. Se copió del campo `collection_time` del registro sin procesar. El valor predeterminado es "NETWORK_CONNECTION". Establece el valor en "GENERIC_EVENT" si falta `src_ip` o `dst_ip`. Se establece en "USER_LOGIN" si `username` está presente y `command` no. Se puede anular con lógica basada en `attack_id`. Establece el valor en “RADWARE_FIREWALL”. Se asignó desde el campo `product`. Establece la opción en “Radware”.
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	Se asignan directamente.
`obv_ip`	`event.idm.read_only_udm.observer.ip`	Se asignan directamente.
`product`	`event.idm.read_only_udm.metadata.product_name`	Se asignan directamente.
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	Se analiza con la lógica `parse_ip_protocol.include`.
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Se asignan directamente. Se deriva según el valor de `attack_id`. Los valores incluyen "ACL_VIOLATION", "NETWORK_DENIAL_OF_SERVICE", "NETWORK_SUSPICIOUS" y "NETWORK_RECON".
`src_ip`	`event.idm.read_only_udm.principal.ip`	Se asignan directamente.
`src_port`	`event.idm.read_only_udm.principal.port`	Se asignan directamente y se convierten en números enteros.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza y se convierte en una marca de tiempo.
`username`	`event.idm.read_only_udm.target.user.userid`	Se asigna directamente si `command` no está presente.
`username`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente si `command` está presente.

Cambios

2023-12-08

Se modificó un patrón de Grok para analizar correctamente "src_ip".

2023-11-23

Se agregaron nuevos patrones de Grok para admitir un nuevo patrón sin analizar de SYSLOGS.
Se agregó compatibilidad con el nuevo patrón de fecha "ts".
Se inicializaron los campos "attack_type", "attack_desc", "protocol_number_src", "security_result", "action" y "product" en nulo.
Se agregó una verificación de nulo a "product" antes de asignarlo a "event.idm.read_only_udm.metadata.product_name".
Se agregó una verificación de nulo a "rule_id" antes de asignarlo a "event.idm.read_only_udm.security_result.rule_id".
Se agregó una verificación de nulo a "attack_desc" antes de asignarlo a "event.idm.read_only_udm.security_result.description".
Se agregó una verificación de nulo a "attack_type" antes de asignarlo a "event.idm.read_only_udm.security_result.threat_name".
Se asignó "username" a "event.idm.read_only_udm.principal.user.userid".
Se asignó "command" a "event.idm.read_only_udm.principal.process.command_line"
Se asignó "description" a "event.idm.read_only_udm.security_result.description".
Se asignó "intermediary_ip" a "event.idm.read_only_udm.intermediary.ip".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.