Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Barracuda WAF

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log del Web Application Firewall (WAF) di Barracuda utilizzando Bindplane. Il parser estrae i campi dai log in formati JSON e Syslog, li normalizza e li mappa all'Unified Data Model (UDM). Gestisce vari tipi di log (traffico, firewall web) ed esegue trasformazioni condizionali in base ai valori dei campi, tra cui risoluzione dell'indirizzo IP/del nome host, mappatura della direzione e normalizzazione della gravità.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Se il servizio è eseguito dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato al WAF Barracuda.

Ottenere il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_waf
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Barracuda WAF

Accedi alla console Barracuda WAF utilizzando le credenziali di amministratore.
Fai clic sulla scheda Avanzate > Esporta log.
Nella sezione Log di esportazione, fai clic su Aggiungi server di log di esportazione.
Fornisci i seguenti valori:
- Nome: inserisci un nome per il forwarder di Google SecOps.
- Tipo di server di log: seleziona Syslog.
- Indirizzo IP o nome host: inserisci l'indirizzo IP Bindplane.
- Porta: inserisci la porta Bindplane.
- Tipo di connessione: seleziona il tipo di connessione TCP (è consigliato TCP). Tuttavia, è possibile utilizzare anche i protocolli UDP o SSL).
- Convalida certificato del server: seleziona No.
- Certificato client: seleziona Nessuna.
- Registra timestamp e nome host: seleziona Sì.
- Fai clic su Aggiungi.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`action`	`security_result.action`	Se `action` è `DENY`, imposta `BLOCK`. In caso contrario, imposta `ALLOW` (in particolare per il tipo di log `WF`). Utilizzato anche per eventi generici del firewall.
`appProtocol`	`network.application_protocol`	Se `appProtocol` corrisponde a `TLSv`, imposta `HTTPS`. In caso contrario, utilizza il valore `appProtocol`.
`attackDetails`	`security_result.description`	Estratto dal log non elaborato per il tipo di log `WF`.
`attackType`	`security_result.summary`	Parte di `security_result.summary`, combinata con `ruleType`.
`bytesReceived`	`network.received_bytes`	Convertito in numero intero non firmato e mappato per il tipo di log `TR`.
`bytesSent`	`network.sent_bytes`	Convertito in numero intero non firmato e mappato per il tipo di log `TR`.
`hostName`	`target.hostname`	Se `hostName` non è un indirizzo IP, utilizza il relativo valore. In caso contrario, viene unito a `target.ip`.
`httpMethod` `loginId`	`principal.user.userid`	Mappato per il tipo di log `TR` se non è uguale a `emptyToken`.
`logType`	`metadata.product_event_type`	Se `TR`, imposta `metadata.product_event_type` su `Barracuda Access Log`. Se `WF`, imposta `Barracuda Web Firewall Log`.
`message`	`metadata.description`	Da utilizzare quando `desc` non è vuoto.
`referrer`	`network.http.referral_url`	Mappato per il tipo di log `TR` se non è uguale a `emptyToken`.
`responseCode`	`network.http.response_code`	Convertito in numero intero e mappato per il tipo di log `TR`.
`rule`	`security_result.rule_name`	Mappato per il tipo di log `WF`.
`ruleType`	`security_result.summary`	Parte di `security_result.summary`, combinata con `attackType`.
`sec_desc`	`security_result.rule_name`	Utilizzato per eventi generici del firewall.
`server`	`target.ip`	Unito a `target.ip`.
`serv`	`target.ip`	Unito a `target.ip`.
`severity`	`security_result.severity`, `is_alert`, `is_significant`	Per il tipo di log `WF`: convertito in maiuscolo. Se `EMERGENCY`, `ALER` o `CRITICAL`, imposta `security_result.severity` su `CRITICAL`, `is_alert` su true e `is_significant` su true. Se `ERROR`, imposta `HIGH`. Se `WARNING`, imposta `MEDIUM`. Se `NOTICE`, imposta `LOW`. In caso contrario, imposta `INFORMATIONAL`.
`src`	`principal.ip`	Utilizzato anche per eventi generici del firewall e per alcuni aggiornamenti dello stato.
`srcPort`	`principal.port`	Convertito in numero intero.
`target` `targetPort`	`target.port`	Convertito in numero intero.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`, `timestamp.seconds`, `timestamp.nanos`	Combinato con `tz` e analizzato per creare il timestamp dell'evento. I secondi e i nano vengono estratti e inseriti nei rispettivi campi.
`url` `urlParams`	`target.url`	Aggiunto a `url` se non è uguale a `emptyToken` per il tipo di log `TR`.
`userAgent` `userName`	`target.user.userid`, `target.user.user_display_name`	Utilizzato per eventi generici del firewall. Se non è uguale a `emptyToken` per il tipo di log `TR`, viene mappato a `target.user.user_display_name`. Hardcoded a `Barracuda`. Imposta `NETWORK_HTTP` se sono presenti sia `src` che `target`. Imposta su `STATUS_UPDATE` se è presente solo `src`. Impostato su `GENERIC_EVENT` per impostazione predefinita o per altri scenari come l'analisi CEF. Hardcoded a `BARRACUDA_WAF`.

Modifiche

2023-07-19

Correzione di bug:

Log non analizzati analizzati utilizzando un pattern Grok.
"server" è stato mappato a "target.ip".

2022-09-09

È stato creato un parser predefinito ed è stata eseguita la migrazione dei parser personalizzati al parser predefinito.
I seguenti campi sono mappati:
"duser" mappato a "target.user.user_display_name".
"suser" mappato a ".principal.user.user_display_name".
"suid" mappato a "principal.user.userid".
"src" mappato a "principal.ip".
'dst' mappato a "target.ip".
"shost" mappato a "principal.hostname".
"severity" mappato a "security_result.severity".
"action" mappato a "security_result.action".
"nome_utente" mappato a "target.user.userid".
"nome_dominio" mappato a "nome.dominio.target".
"mac_address" mappato a "principal.mac".
"direction" mappato a "network.direction".
"ip_protocol" mappato a "network.ip_protocol".
"summary" mappato a "security_result.summary".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.