Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del WAF de Barracuda

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros del firewall de aplicaciones web (WAF) de Barracuda con Bindplane. El analizador extrae campos de los registros en formatos JSON y Syslog, los normaliza y los asigna al modelo de datos unificado (UDM). Maneja varios tipos de registros (tráfico, firewall web) y realiza transformaciones condicionales basadas en valores de campos, como la resolución de direcciones IP o nombres de host, la asignación de direccionalidad y la normalización de la gravedad.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios al WAF de Barracuda.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_waf
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el WAF de Barracuda

Accede a la consola de Barracuda WAF con credenciales de administrador.
Haz clic en la pestaña Avanzado > Exportar registros.
En la sección Exportar registros, haz clic en Agregar servidor de registro de exportación.
Ingresa los siguientes valores:
- Nombre: Ingresa un nombre para el reenvío de Google SecOps.
- Log server type: Selecciona Syslog.
- Dirección IP o nombre de host: Ingresa la dirección IP Bindplane.
- Puerto: Ingresa el puerto Bindplane.
- Tipo de conexión: Selecciona el tipo de conexión TCP (se recomienda TCP). Sin embargo, también se pueden usar protocolos UDP o SSL.
- Validar certificado del servidor: Selecciona No.
- Certificado de cliente: Selecciona Ninguno.
- Log timestamp and hostname: Selecciona Yes.
- Haz clic en Agregar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`security_result.action`	Si `action` es `DENY`, configúralo como `BLOCK`. De lo contrario, configúralo como `ALLOW` (específicamente para el tipo de registro `WF`). También se usa para eventos genéricos de firewall.
`appProtocol`	`network.application_protocol`	Si `appProtocol` coincide con `TLSv`, se establece en `HTTPS`. De lo contrario, usa el valor de `appProtocol`.
`attackDetails`	`security_result.description`	Se extrae del registro sin procesar para el tipo de registro `WF`.
`attackType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `ruleType`.
`bytesReceived`	`network.received_bytes`	Se convirtió en un número entero sin signo y se asignó para el tipo de registro `TR`.
`bytesSent`	`network.sent_bytes`	Se convirtió en un número entero sin signo y se asignó para el tipo de registro `TR`.
`hostName`	`target.hostname`	Si `hostName` no es una dirección IP, usa su valor. De lo contrario, se combina en `target.ip`.
`httpMethod` `loginId`	`principal.user.userid`	Se asigna al tipo de registro `TR` cuando no es igual a `emptyToken`.
`logType`	`metadata.product_event_type`	Si es `TR`, establece `metadata.product_event_type` en `Barracuda Access Log`. Si es `WF`, configúralo como `Barracuda Web Firewall Log`.
`message`	`metadata.description`	Se usa cuando `desc` no está vacío.
`referrer`	`network.http.referral_url`	Se asigna al tipo de registro `TR` cuando no es igual a `emptyToken`.
`responseCode`	`network.http.response_code`	Se convierte en un número entero y se asigna para el tipo de registro `TR`.
`rule`	`security_result.rule_name`	Se asigna al tipo de registro `WF`.
`ruleType`	`security_result.summary`	Parte de `security_result.summary`, combinada con `attackType`.
`sec_desc`	`security_result.rule_name`	Se usa para eventos de firewall genéricos.
`server`	`target.ip`	Se combinó con `target.ip`.
`serv`	`target.ip`	Se combinó con `target.ip`.
`severity`	`security_result.severity`	Para el tipo de registro `WF`: Se convierte a mayúsculas. Si es `EMERGENCY`, `ALER` o `CRITICAL`, establece `security_result.severity` en `CRITICAL`. Si es `ERROR`, configúralo como `HIGH`. Si es `WARNING`, configúralo como `MEDIUM`. Si es `NOTICE`, configúralo como `LOW`. De lo contrario, configúralo como `INFORMATIONAL`.
`src`	`principal.ip`	También se usa para eventos genéricos del firewall y algunas actualizaciones de estado.
`srcPort`	`principal.port`	Se convirtió en un número entero.
`target` `targetPort`	`target.port`	Se convirtió en un número entero.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`, `timestamp.seconds`, `timestamp.nanos`	Se combina con `tz` y se analiza para crear la marca de tiempo del evento. Los segundos y los nanosegundos se extraen y se propagan en los campos respectivos.
`url` `urlParams`	`target.url`	Se agrega a `url` si no es igual a `emptyToken` para el tipo de registro `TR`.
`userAgent` `userName`	`target.user.userid`, `target.user.user_display_name`	Se usa para eventos de firewall genéricos. Si no es igual a `emptyToken` para el tipo de registro `TR`, se asigna a `target.user.user_display_name`. Se codificó como `Barracuda`. Se establece en `NETWORK_HTTP` si están presentes `src` y `target`. Se establece en `STATUS_UPDATE` si solo está presente `src`. Se establece en `GENERIC_EVENT` de forma predeterminada o para otros casos, como el análisis de CEF. Se codificó como `BARRACUDA_WAF`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.