Akamai WAF 로그 수집

다음에서 지원:

이 문서에서는 Google Cloud Storage 또는 AWS S3를 사용하여 Akamai WAF 로그를 Google Security Operations로 내보내고 수집하는 방법을 설명합니다. 파서는 syslog 및 CEF 형식을 모두 지원하여 로그를 처리합니다. IP 주소, URL, HTTP 메서드, 응답 코드, 사용자 에이전트, 보안 규칙 정보와 같은 필드를 추출하여 일관된 표현을 위해 통합 데이터 모델 (UDM)에 매핑합니다. 파서는 attackDataclientReputation와 같은 특정 Akamai 필드도 처리하여 필요한 데이터 변환을 실행하고 UDM 출력을 보강합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Google Cloud 또는 AWS에 대한 액세스 권한
  • Akamai에 대한 액세스 권한 관리

Cloud Storage에서 Akamai WAF 로그 내보내기 및 수집

이 섹션에서는 프로세스의 초기 단계인 Akamai WAF 로그에 필요한 스토리지를 설정하는 방법을 간략히 설명합니다.

스토리지 버킷 만들기 Google Cloud

  1. Google Cloud 콘솔에 로그인합니다.

  2. Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  3. 만들기를 클릭합니다.

  4. '버킷 만들기' 페이지에서 버킷 정보를 입력합니다. 다음 각 단계를 완료한 후 계속을 클릭하여 다음 단계로 진행합니다.

    1. 시작하기 섹션에서 다음을 수행합니다.

      • 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: akamai-waf-logs).
      • 계층적 네임스페이스를 사용 설정하려면 펼치기 화살표를 클릭하여 파일 지향 및 데이터 집약적인 워크로드에 최적화 섹션을 펼친 다음 이 버킷에서 계층적 네임스페이스 사용 설정을 선택합니다.
      • 버킷 라벨을 추가하려면 펼치기 화살표를 클릭하여 라벨 섹션을 펼칩니다.
      • 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

    2. 데이터 저장 위치 선택 섹션에서 다음을 수행합니다.

      • 위치 유형을 선택합니다.
      • 위치 유형의 드롭다운 메뉴를 사용하여 버킷 내 객체 데이터가 영구적으로 저장될 위치를 선택합니다.
      • 버킷 간 복제를 설정하려면 버킷 간 복제 설정 섹션을 펼칩니다.

    3. 데이터의 스토리지 클래스 선택 섹션에서 버킷에 기본 스토리지 클래스를 선택하거나, 버킷 데이터의 자동 스토리지 클래스 관리에 자동 클래스를 선택합니다.

    4. 객체 액세스를 제어하는 방식 선택 섹션에서 공개 액세스 방지를 적용하지 않음을 선택하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.

    5. 객체 데이터 보호 방법 선택 섹션에서 다음을 수행합니다.

      • 버킷에 설정할 데이터 보호 아래의 옵션을 선택합니다.
      • 객체 데이터의 암호화 방법을 선택하려면 데이터 암호화라는 펼치기 화살표를 클릭하고 데이터 암호화 방법을 선택합니다.

  5. 만들기를 클릭합니다.

Cloud Storage 권한 구성

  1. 서비스 계정 만들기 페이지로 이동합니다.

    서비스 계정 만들기로 이동

  2. Google Cloud 프로젝트를 선택합니다.

  3. Google Cloud 콘솔에 표시할 서비스 계정 이름을 입력합니다.

  4. 만들고 계속하기를 클릭합니다.

  5. 버킷에 대한 roles/storage.admin을 부여합니다.

  6. 완료를 클릭하여 서비스 계정 만들기를 마칩니다.

서비스 계정 키 파일 만들기 및 다운로드 Google Cloud

  1. 서비스 계정페이지로 이동합니다.

    서비스 계정으로 이동

  2. Google Cloud 프로젝트를 선택합니다.

  3. 새로 만든 서비스 계정의 이메일 주소를 클릭합니다.

  4. 탭을 클릭합니다.

  5. 키 추가 메뉴를 클릭한 후 새 키 만들기를 선택합니다.

  6. 키 유형으로 JSON을 선택하고 만들기를 클릭합니다.

    • 만들기를 클릭하면 서비스 계정 키 파일이 다운로드됩니다. 키 파일을 다운로드한 후에는 다시 다운로드할 수 없습니다.
    • 다운로드한 키의 형식은 다음과 같습니다. 여기서 PRIVATE_KEY는 공개-비공개 키 쌍의 비공개 부분입니다.

Cloud Storage로 로그를 보내도록 Akamai WAF 구성

  1. Akamai Control Center에 로그인합니다.
  2. 보안 섹션으로 이동합니다.
  3. 로그를 선택합니다.
  4. 새 로그 전송을 구성합니다.
    • 로그 소스: WAF 구성을 선택합니다.
    • 대상: Google Cloud Storage를 선택합니다.
    • 표시 이름: 고유한 이름 설명을 입력합니다.
    • 버킷: 만든 Cloud Storage 버킷의 이름을 지정합니다 (예: gs://akamai-waf-logs/).
    • 프로젝트 ID: Google Cloud 프로젝트의 고유 ID를 입력합니다.
    • 서비스 계정 이름: 이전에 만든 서비스 계정의 이름을 입력합니다.
    • 비공개 키: 이전에 생성하고 다운로드한 JSON 키의 private_key 값을 입력합니다. (비공개 키는 PEM 형식으로 입력해야 합니다. 예를 들어 -----BEGIN PRIVATE KEY-----\nprivate_key\n-----END PRIVATE KEY-----\n와 같이 줄바꿈 (\n) 기호를 사용하세요.)
    • 로그 형식: 원하는 로그 형식을 선택합니다 (예: JSON).
    • 푸시 빈도: 로그 전송 빈도를 선택합니다 (예: every 60 seconds).

  5. 유효성 검사 및 저장을 클릭하여 대상과의 연결을 검증하고 제공한 세부정보를 저장합니다.

  6. 다음을 클릭하여 요약 탭으로 이동합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다 (예: Akamai WAF 로그).
  5. 소스 유형으로 Google Cloud Storage를 선택합니다.
  6. 로그 유형으로 Akamai WAF를 선택합니다.
  7. Chronicle 서비스 계정으로 서비스 계정 가져오기를 클릭합니다.
  8. 다음을 클릭합니다.

  9. 다음 입력 매개변수의 값을 지정합니다.

    • 스토리지 버킷 URI: Google Cloud 스토리지 버킷 URL (예: gs://akamai-waf-logs/). 이 URL은 후행 슬래시 (/)로 끝나야 합니다.
    • URI Is A: 하위 디렉터리가 포함된 디렉터리를 선택합니다.
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.

  10. 다음을 클릭합니다.

  11. '확정' 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

AWS S3에서 Akamai WAF 로그 내보내기 및 수집

이 섹션에서는 Akamai WAF 로그를 수신하고 저장하도록 Amazon S3 버킷을 설정하는 초기 단계를 설명합니다.

Amazon S3 버킷 구성

  1. 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
  2. 나중에 참조할 수 있도록 버킷 이름리전을 저장합니다.
  3. 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
  4. 생성된 사용자를 선택합니다.
  5. 보안 사용자 인증 정보 탭을 선택합니다.
  6. 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
  7. 사용 사례서드 파티 서비스를 선택합니다.
  8. 다음을 클릭합니다.
  9. 선택사항: 설명 태그를 추가합니다.
  10. 액세스 키 만들기를 클릭합니다.
  11. 액세스 키비밀 액세스 키를 저장하여 나중에 참고하려면 CSV 파일 다운로드를 클릭합니다.
  12. 완료를 클릭합니다.
  13. 권한 탭을 선택합니다.
  14. 권한 정책 섹션에서 권한 추가를 클릭합니다.
  15. 권한 추가를 선택합니다.
  16. 정책 직접 연결을 선택합니다.
  17. AmazonS3FullAccess 정책을 검색합니다.
  18. 정책을 선택합니다.
  19. 다음을 클릭합니다.
  20. 권한 추가를 클릭합니다.

Amazon S3로 로그를 보내도록 Akamai WAF 구성

  1. Akamai Control Center에 로그인합니다.
  2. 보안 섹션으로 이동합니다.
  3. 로그를 선택합니다.

  4. 새 로그 전송을 구성합니다.

    • 로그 소스: WAF 구성을 선택합니다.
    • 대상: Amazon S3를 선택합니다.
    • S3 버킷: 생성한 S3 버킷의 이름을 지정합니다.
    • 리전: S3 버킷이 있는 AWS 리전을 선택합니다.
    • 액세스 키 ID 및 보안 비밀 액세스 키: 생성한 사용자 인증 정보를 제공합니다.
    • 로그 형식: 원하는 로그 형식을 선택합니다 (예: JSON).

    • 전송 빈도: 로그 전송 빈도를 선택합니다 (예: 5분마다).

  5. 로그 전송을 확인합니다.

    • LDS를 구성한 후 수신되는 로그 파일에 대해 S3 버킷을 모니터링합니다.

SIEM 설정 > 피드에서 AWS S3를 사용하여 피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다 (예: Akamai WAF 로그).
  5. 소스 유형으로 Amazon S3를 선택합니다.
  6. 로그 유형으로 Akamai WAF를 선택합니다.
  7. 다음을 클릭합니다.

  8. 다음 입력 매개변수의 값을 지정합니다.

    • 리전: Amazon S3 버킷이 있는 리전입니다.
    • S3 URI: 버킷 URI입니다. s3:/BUCKET_NAME 다음을 바꿉니다.
      • BUCKET_NAME: 버킷의 이름입니다.
    • URI is a: 로그 스트림 구성에 따라 URI 유형을 선택합니다(Single file | Directory | Directory which includes subdirectories).
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
    • 액세스 키 ID: s3 버킷에 액세스할 수 있는 사용자 액세스 키입니다.
    • 보안 비밀 액세스 키: s3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.

  9. 다음을 클릭합니다.

  10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

로그 필드 (오름차순) UDM 매핑 논리
attackData.clientIP principal.ip, principal.asset.ip 요청을 시작하는 클라이언트의 IP 주소입니다. akamai_siem 로그의 attackData.clientIP 필드에서 추출됩니다.
attackData.configId metadata.product_log_id 보안 구성 ID입니다. akamai_siem 로그의 attackData.configId 필드에서 추출됩니다. security_result 객체에 detection_field로도 추가됩니다.
attackData.policyId 해당 사항 없음 파서 로직에서 security_result.summaryPolicyId:[value] 값으로 채우는 데 사용됩니다.
attackData.ruleActions security_result.action, security_result.action_details 트리거된 규칙에 따라 취해진 조치입니다. akamai_siem 로그의 attackData.ruleActions 필드에서 추출됩니다. 'deny'는 차단에 매핑되고 다른 값 ('alert', 'monitor', 'allow', 'tarpit')은 허용에 매핑됩니다. 원래 값은 action_details에도 저장됩니다.
attackData.ruleData security_result.detection_fields 트리거된 규칙과 연결된 데이터입니다. akamai_siem 로그의 attackData.ruleData 필드에서 추출됩니다. 키가 'RuleData'인 security_result.detection_fields에 추가되었습니다.
attackData.ruleMessages security_result.threat_name 트리거된 규칙과 연결된 메시지입니다. akamai_siem 로그의 attackData.ruleMessages 필드에서 추출됩니다.
attackData.ruleSelectors security_result.detection_fields 트리거된 규칙과 연결된 선택기입니다. akamai_siem 로그의 attackData.ruleSelectors 필드에서 추출됩니다. 키 'RuleSelector'로 security_result.detection_fields에 추가됨
attackData.ruleTags security_result.category_details 트리거된 규칙과 연결된 태그입니다. akamai_siem 로그의 attackData.ruleTags 필드에서 추출됩니다.
attackData.ruleVersions security_result.detection_fields 트리거된 규칙의 버전입니다. akamai_siem 로그의 attackData.ruleVersions 필드에서 추출됩니다. 키가 '규칙 버전'인 security_result.detection_fields에 추가되었습니다.
clientReputation principal.labels 클라이언트 평판 정보입니다. akamai_siem 로그의 clientReputation 필드에서 추출됩니다. 'reputation' 키가 있는 주체에 라벨로 추가됩니다.
cliIP, cli_ip, principal_ip principal.ip, principal.asset.ip 클라이언트 IP 주소입니다. 로그 형식에 따라 cliIP 또는 cli_ip 또는 principal_ip에서 추출됩니다.
cp additional.fields CP 코드 cp 필드에서 추출했습니다. 키 'cp'로 additional.fields에 추가됨
eventId metadata.product_log_id 이벤트 ID입니다. eventId 필드에서 추출했습니다.
eventTime, log_date metadata.event_timestamp 이벤트 타임스탬프입니다. 로그 형식에 따라 eventTime에서 추출하거나 log_date에서 파싱됩니다.
eventType.eventDefinition.eventDefinitionId target.resource.product_object_id 이벤트 정의 ID입니다. eventType.eventDefinition.eventDefinitionId에서 추출됨
eventType.eventDefinition.eventDescription metadata.description 이벤트 설명입니다. eventType.eventDefinition.eventDescription에서 추출됨
eventType.eventDefinition.eventName metadata.product_event_type 이벤트 이름 eventType.eventDefinition.eventName에서 추출됨
eventType.eventTypeId additional.fields 이벤트 유형 ID입니다. eventType.eventTypeId에서 추출됨 키가 'eventTypeId'인 additional.fields에 추가되었습니다.
eventType.eventTypeName additional.fields 이벤트 유형 이름입니다. eventType.eventTypeName에서 추출됨 키 'eventTypeName'과 함께 additional.fields에 추가되었습니다.
format 해당 사항 없음 파서가 로그 형식을 확인하는 데 사용됩니다.
geo.asn principal.location.name 자율 시스템 번호 (ASN)입니다. 로그 형식에 따라 geo.asn 또는 AkamaiSiemASN에서 추출됩니다. 값에 'ASN '이 접두사로 붙습니다.
geo.city principal.location.city 도시. 로그 형식에 따라 geo.city 또는 AkamaiSiemCity에서 추출됩니다.
geo.country principal.location.country_or_region 국가입니다. 로그 형식에 따라 geo.country 또는 AkamaiSiemContinent에서 추출됩니다.
httpMessage.bytes network.sent_bytes HTTP 메시지에서 전송된 바이트입니다. httpMessage.bytes에서 추출됨
httpMessage.host target.hostname, target.asset.hostname 호스트 이름입니다. 로그 형식에 따라 httpMessage.host 또는 reqHost에서 추출됩니다.
httpMessage.method network.http.method HTTP 메서드 로그 형식에 따라 httpMessage.method 또는 network_http_method 또는 reqMethod에서 추출됩니다. 대문자로 변환되었습니다.
httpMessage.path target.url 요청 경로입니다. 로그 형식에 따라 httpMessage.path 또는 target_url 또는 reqPath에서 추출됩니다. httpMessage.query가 있으면 '?' 구분자로 경로에 추가됩니다.
httpMessage.port target.port 포트 로그 형식에 따라 httpMessage.port 또는 reqPort에서 추출됩니다.
httpMessage.protocol 해당 사항 없음 파서가 프로토콜을 확인하는 데 사용됩니다.
httpMessage.query 해당 사항 없음 파서 로직에서 httpMessage.path에 추가하는 데 사용됩니다(있는 경우).
httpMessage.requestId network.session_id 요청 ID입니다. 로그 형식에 따라 httpMessage.requestId 또는 reqId에서 추출됩니다.
httpMessage.requestHeaders, AkamaiSiemRequestHeaders additional.fields 요청 헤더입니다. 로그 형식에 따라 httpMessage.requestHeaders 또는 AkamaiSiemRequestHeaders에서 추출됩니다. 'AkamaiSiemRequestHeaders' 키와 함께 additional.fields에 추가되었습니다.
httpMessage.responseHeaders, AkamaiSiemResponseHeaders additional.fields 응답 헤더입니다. 로그 형식에 따라 httpMessage.responseHeaders 또는 AkamaiSiemResponseHeaders에서 추출됩니다. 'AkamaiSiemResponseHeaders' 키와 함께 additional.fields에 추가됨
httpMessage.status, AkamaiSiemResponseStatus, network_http_response_code, statusCode network.http.response_code HTTP 응답 코드입니다. 로그 형식에 따라 httpMessage.status 또는 AkamaiSiemResponseStatus 또는 network_http_response_code 또는 statusCode에서 추출됩니다.
httpMessage.tls, AkamaiSiemTLSVersion, tlsVersion network.tls.version TLS 버전입니다. 로그 형식에 따라 httpMessage.tls 또는 AkamaiSiemTLSVersion 또는 tlsVersion에서 추출됩니다.
httpMessage.useragent, network_http_user_agent, UA, useragent network.http.user_agent 사용자 에이전트입니다. 로그 형식에 따라 httpMessage.useragent 또는 network_http_user_agent 또는 UA 또는 useragent에서 추출됩니다.
log_description metadata.description 로그 설명입니다. log_description에서 추출됨
log_rule security_result.rule_name 로그 규칙입니다. log_rule에서 추출됨
message 해당 사항 없음 원시 로그 메시지입니다. 다양한 추출을 위해 파서에서 사용됩니다.
network_http_referral_url network.http.referral_url HTTP 추천 URL입니다. network_http_referral_url에서 추출됨
proto 해당 사항 없음 attackData.policyId이 없는 경우 파서 로직에서 security_result.summary을 채우는 데 사용됩니다.
reqHost target.hostname, target.asset.hostname 호스트를 요청합니다. reqHost에서 추출됨
reqId metadata.product_log_id, network.session_id 요청 ID입니다. reqId에서 추출됨
reqMethod network.http.method 요청 메서드입니다. reqMethod에서 추출됨
reqPath target.url 요청 경로입니다. reqPath에서 추출됨
reqPort target.port 포트를 요청합니다. reqPort에서 추출됨
rspContentType target.file.mime_type 응답 콘텐츠 유형입니다. rspContentType에서 추출됨
securityRules security_result.rule_name, security_result.about.resource.attribute.labels 보안 규칙을 선택합니다. securityRules에서 추출됨 첫 번째 부분은 rule_name에 매핑되고 나머지는 키가 'non_deny_rules' 및 'deny_rule_format'인 라벨로 추가됩니다.
statusCode network.http.response_code 상태 코드입니다. statusCode에서 추출됨
state principal.location.state, target.user.personal_address.state 주/도 state에서 추출됨
tlsVersion network.tls.version TLS 버전입니다. tlsVersion에서 추출됨
type metadata.product_event_type 이벤트 유형입니다. type에서 추출됨
UA network.http.user_agent 사용자 에이전트입니다. UA에서 추출됨
version metadata.product_version, principal.asset.software.version 버전입니다. version에서 추출됨
해당 사항 없음 metadata.event_timestamp 이벤트 타임스탬프는 akamai_lds 로그의 _ts 필드, akamai_siem 로그의 httpMessage.start 필드 또는 기타 형식의 log_date 필드에서 파생됩니다.
해당 사항 없음 metadata.vendor_name 'Akamai'로 하드코딩됩니다.
해당 사항 없음 metadata.product_name 'Kona'로 하드코딩됨
해당 사항 없음 metadata.log_type 'AKAMAI_WAF'로 하드코딩됩니다.
해당 사항 없음 network.application_protocol akamai_siem 및 akamai_lds 로그의 경우 'HTTP'로 설정하고 다른 형식의 경우 'DNS'로 설정합니다.
해당 사항 없음 security_result.severity 'alert' 작업의 경우 MEDIUM, 'deny' 작업의 경우 CRITICAL, 기타 작업의 경우 HIGH로 설정합니다.
해당 사항 없음 event.idm.read_only_udm.metadata.event_type 대부분의 로그 형식의 경우 'NETWORK_HTTP', eventId 또는 eventData 필드가 있는 이벤트의 경우 'GENERIC_EVENT', cli_ip 또는 p_ip가 있지만 reqHost가 없는 이벤트의 경우 'STATUS_UPDATE'로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.