Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Barracuda WAF

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros del firewall de aplicaciones web (WAF) de Barracuda con Bindplane. El analizador extrae campos de los registros en formatos JSON y Syslog, los normaliza y los asigna al modelo de datos unificado (UDM). Controla varios tipos de registros (tráfico, firewall web) y realiza transformaciones condicionales según los valores de los campos, incluida la resolución de direcciones IP o nombres de host, la asignación de direccionalidad y la normalización de gravedad.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a la WAF de Barracuda.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_waf
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Barracuda WAF

Accede a la consola de Barracuda WAF con las credenciales de administrador.
Haz clic en la pestaña Avanzado > Exportar registros.
En la sección Exportar registros, haz clic en Agregar servidor de registro de exportación.
Ingresa los siguientes valores:
- Nombre: Ingresa un nombre para el reenviador de Google SecOps.
- Log server type: Selecciona Syslog.
- Dirección IP o nombre de host: Ingresa la dirección IP de Bindplane.
- Puerto: Ingresa el puerto Bindplane.
- Tipo de conexión: Selecciona el tipo de conexión TCP (se recomienda TCP). Sin embargo, también se pueden usar los protocolos UDP o SSL).
- Validar certificado de servidor: Selecciona No.
- Certificado de cliente: Selecciona Ninguno.
- Log timestamp and hostname: Selecciona Yes.
- Haz clic en Agregar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.action`	Si `action` es `DENY`, configúralo como `BLOCK`. De lo contrario, configúralo como `ALLOW` (específicamente para el tipo de registro `WF`). También se usa para eventos genéricos de firewall.
`appProtocol`	`network.application_protocol`	Si `appProtocol` coincide con `TLSv`, configúralo como `HTTPS`. De lo contrario, usa el valor de `appProtocol`.
`attackDetails`	`security_result.description`	Se extrae del registro sin procesar del tipo de registro `WF`.
`attackType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `ruleType`.
`bytesReceived`	`network.received_bytes`	Se convirtió en número entero sin signo y se asignó para el tipo de registro `TR`.
`bytesSent`	`network.sent_bytes`	Se convirtió en número entero sin signo y se asignó para el tipo de registro `TR`.
`hostName`	`target.hostname`	Si `hostName` no es una dirección IP, usa su valor. De lo contrario, se fusiona en `target.ip`.
`httpMethod` `loginId`	`principal.user.userid`	Se asignó para el tipo de registro `TR` cuando no es igual a `emptyToken`.
`logType`	`metadata.product_event_type`	Si es `TR`, establece `metadata.product_event_type` en `Barracuda Access Log`. Si es `WF`, configúralo como `Barracuda Web Firewall Log`.
`message`	`metadata.description`	Se usa cuando `desc` no está vacío.
`referrer`	`network.http.referral_url`	Se asignó para el tipo de registro `TR` cuando no es igual a `emptyToken`.
`responseCode`	`network.http.response_code`	Se convirtió en número entero y se asignó para el tipo de registro `TR`.
`rule`	`security_result.rule_name`	Se asignó para el tipo de registro `WF`.
`ruleType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `attackType`.
`sec_desc`	`security_result.rule_name`	Se usa para eventos genéricos de firewall.
`server`	`target.ip`	Se fusionó en `target.ip`.
`serv`	`target.ip`	Se fusionó en `target.ip`.
`severity`	`security_result.severity`, `is_alert`, `is_significant`	Para el tipo de registro `WF`: Se convierte a mayúsculas. Si es `EMERGENCY`, `ALER` o `CRITICAL`, establece `security_result.severity` en `CRITICAL`, `is_alert` en verdadero y `is_significant` en verdadero. Si es `ERROR`, configúralo como `HIGH`. Si es `WARNING`, configúralo como `MEDIUM`. Si es `NOTICE`, configúralo como `LOW`. De lo contrario, configúralo como `INFORMATIONAL`.
`src`	`principal.ip`	También se usa para eventos genéricos de firewall y algunas actualizaciones de estado.
`srcPort`	`principal.port`	Se convirtió en número entero.
`target` `targetPort`	`target.port`	Se convirtió en número entero.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`, `timestamp.seconds`, `timestamp.nanos`	Se combina con `tz` y se analiza para crear la marca de tiempo del evento. Los segundos y nanos se extraen y se propagan en los campos correspondientes.
`url` `urlParams`	`target.url`	Se agrega a `url` si no es igual a `emptyToken` para el tipo de registro `TR`.
`userAgent` `userName`	`target.user.userid`, `target.user.user_display_name`	Se usa para eventos genéricos de firewall. Si no es igual a `emptyToken` para el tipo de registro `TR`, se asigna a `target.user.user_display_name`. Se codifica en `Barracuda`. Se establece en `NETWORK_HTTP` si están presentes `src` y `target`. Se establece en `STATUS_UPDATE` si solo está presente `src`. Se establece en `GENERIC_EVENT` de forma predeterminada o para otras situaciones, como el análisis de CEF. Se codifica en `BARRACUDA_WAF`.

Cambios

2023-07-19

Corrección de errores:

Se analizaron registros sin procesar con un patrón de Grok.
Se asignó "server" a "target.ip".

2022-09-09

Se creó un analizador predeterminado y se migraron los analizadores personalizados al analizador predeterminado.
Se asignaron los siguientes campos:
"duser" se asignó a "target.user.user_display_name".
"suser" se asignó a ".principal.user.user_display_name".
"suid" se asignó a "principal.user.userid".
"src" asignado a "principal.ip"
"dst" asignado a "target.ip".
"shost" se asignó a "principal.hostname".
"severity" asignado a "security_result.severity".
"action" se asignó a "security_result.action".
"user_name" se asignó a "target.user.userid".
"domain_name" asignado a "target.domain.name".
"mac_address" se asigna a "principal.mac".
"direction" asignado a "network.direction".
"ip_protocol" asignado a "network.ip_protocol"
"summary" asignado a "security_result.summary".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.