Esta página se ha traducido con Cloud Translation API.

Recoger registros de Barracuda WAF

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo recoger registros de cortafuegos de aplicaciones web (WAF) de Barracuda mediante Bindplane. El analizador extrae campos de los registros en formatos JSON y Syslog, los normaliza y los asigna al modelo de datos unificado (UDM). Gestiona varios tipos de registros (tráfico, firewall web) y realiza transformaciones condicionales basadas en valores de campo, como la resolución de direcciones IP o nombres de host, la asignación de direccionalidad y la normalización de la gravedad.

Antes de empezar

Asegúrate de que tienes una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso con privilegios al WAF de Barracuda.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_waf
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Barracuda WAF

Inicia sesión en la consola de Barracuda WAF con las credenciales de administrador.
Haz clic en la pestaña Avanzado > Exportar registros.
En la sección Exportar registros, haga clic en Añadir servidor de registro de exportación.
Proporcione los siguientes valores:
- Nombre: introduce un nombre para el reenviador de Google SecOps.
- Tipo de servidor de registro: selecciona Syslog.
- Dirección IP o nombre de host: introduce la dirección IP Bindplane.
- Puerto: introduce el puerto Bindplane.
- Tipo de conexión: selecciona el tipo de conexión TCP (se recomienda TCP). Sin embargo, también se pueden usar los protocolos UDP o SSL.
- Validar certificado de servidor: selecciona No.
- Certificado de cliente: selecciona Ninguno.
- Marca de tiempo y nombre de host del registro: selecciona Sí.
- Haz clic en Añadir.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.action`	Si `action` es `DENY`, asigna el valor `BLOCK`. De lo contrario, asigna el valor `ALLOW` (específicamente para el tipo de registro `WF`). También se usa para eventos de firewall genéricos.
`appProtocol`	`network.application_protocol`	Si `appProtocol` coincide con `TLSv`, se asigna el valor `HTTPS`. De lo contrario, se usará el valor `appProtocol`.
`attackDetails`	`security_result.description`	Extraído del registro sin procesar del tipo de registro `WF`.
`attackType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `ruleType`.
`bytesReceived`	`network.received_bytes`	Se ha convertido a un entero sin signo y se ha asignado al tipo de registro `TR`.
`bytesSent`	`network.sent_bytes`	Se ha convertido a un entero sin signo y se ha asignado al tipo de registro `TR`.
`hostName`	`target.hostname`	Si `hostName` no es una dirección IP, usa su valor. De lo contrario, se combinará con `target.ip`.
`httpMethod` `loginId`	`principal.user.userid`	Asignado al tipo de registro `TR` cuando no es igual a `emptyToken`.
`logType`	`metadata.product_event_type`	Si `TR`, asigna el valor `Barracuda Access Log` a `metadata.product_event_type`. Si `WF`, asigna el valor `Barracuda Web Firewall Log`.
`message`	`metadata.description`	Se usa cuando `desc` no está vacío.
`referrer`	`network.http.referral_url`	Asignado al tipo de registro `TR` cuando no es igual a `emptyToken`.
`responseCode`	`network.http.response_code`	Se ha convertido en un número entero y se ha asignado al tipo de registro `TR`.
`rule`	`security_result.rule_name`	Asignado al tipo de registro `WF`.
`ruleType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `attackType`.
`sec_desc`	`security_result.rule_name`	Se usa para eventos de cortafuegos genéricos.
`server`	`target.ip`	Se ha combinado con `target.ip`.
`serv`	`target.ip`	Se ha combinado con `target.ip`.
`severity`	`security_result.severity`	Tipo de registro `WF`: se ha convertido a mayúsculas. Si `EMERGENCY`, `ALER` o `CRITICAL`, asigna a `security_result.severity` el valor `CRITICAL`. Si `ERROR`, asigna el valor `HIGH`. Si `WARNING`, asigna el valor `MEDIUM`. Si `NOTICE`, asigna el valor `LOW`. De lo contrario, asigna el valor `INFORMATIONAL`.
`src`	`principal.ip`	También se usa para eventos de firewall genéricos y algunas actualizaciones de estado.
`srcPort`	`principal.port`	Se ha convertido en un número entero.
`target` `targetPort`	`target.port`	Se ha convertido en un número entero.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`, `timestamp.seconds`, `timestamp.nanos`	Se combina con `tz` y se analiza para crear la marca de tiempo del evento. Los segundos y los nanosegundos se extraen y se rellenan en los campos correspondientes.
`url` `urlParams`	`target.url`	Se añade a `url` si no es igual a `emptyToken` para el tipo de registro `TR`.
`userAgent` `userName`	`target.user.userid`, `target.user.user_display_name`	Se usa para eventos de cortafuegos genéricos. Si no es igual a `emptyToken` para el tipo de registro `TR`, se asigna a `target.user.user_display_name`. Valor fijo establecido en el código fuente `Barracuda`. Se define como `NETWORK_HTTP` si están presentes `src` y `target`. Se asigna el valor `STATUS_UPDATE` si solo está presente `src`. Definir `GENERIC_EVENT` como valor predeterminado o para otros casos, como el análisis de CEF. Valor fijo establecido en el código fuente `BARRACUDA_WAF`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.