Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del WAF de Radware

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar los registros del firewall de aplicaciones web (WAF) de Radware con un retransmisor de Google Security Operations. El analizador extrae campos de los mensajes syslog del firewall de Radware con patrones de Grok y los asigna al UDM. Maneja varios formatos de registro, completa los campos de resultados de seguridad según los detalles del ataque y categoriza los eventos según attack_id, lo que enriquece los datos para la transferencia a Google SecOps.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de que Radware Vision Reporter esté instalado y configurado en AppWall.
Asegúrate de tener acceso con privilegios al portal de WAF de Radware.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el WAF de Radware AppWall

Para completar las tareas, realiza las siguientes tres configuraciones:

Configura AppWall independiente con Vision Reporter.
Configura el AppWall integrado en Alteon con Vision Reporter (incluye datos de solicitudes HTTP en los detalles del evento).
Configura Vision Reporter para enviar registros al agente de BindPlane.

Configura AppWall independiente con Vision Reporter

Accede a la consola de Radware WAF con credenciales de administrador.
Ve a Configuración > Servicios > Asistencia visual > Vision Reporter.
- Para habilitar el registro, selecciona la casilla de verificación Send events to Vision Reporter.
- Dirección de Vision Reporter: Ingresa la dirección IP de Vision Reporter.
- Puerto: Ingresa el número de puerto.
- Protocolo: Selecciona UDP o TCP.
- Para incluir datos de respuesta HTTP, selecciona la casilla de verificación Enviar respuestas a Vision Reporter.
Haz clic en Guardar.

Configura Integrated AppWall en Alteon con Vision Reporter (preferido para el registro de datos de solicitudes HTTP)

Accede a la consola del WAF de Radware con las credenciales de administrador.
Ve a Configuración > Seguridad > Seguridad web > Vision Reporter.
- Para habilitar el registro, selecciona la casilla de verificación Send events to Vision Reporter.
- Selecciona la casilla de verificación Send events to Vision reporter.
- Dirección IP de Vision Reporter: Ingresa la dirección IP de Vision Reporter.
- Puerto: Ingresa un número de puerto alto.
- Seguridad: Selecciona UDP o TCP.
Haz clic en Guardar.

Configura Vision Reporter para enviar registros al agente de BindPlane

Accede a la consola del administrador de Radware Vision Reporter.
Ve a Configuration > SIEM & External Logging.
Haz clic en + Add New SIEM Destination.
- Nombre de destino: Ingresa Google SecOps Forwarder.
- Tipo de exportación de registros: Selecciona Syslog (formato RFC 5424) para el registro estructurado.
- En Remote Syslog Server IP, ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa un puerto en el que escucha el agente de Bindplane (por ejemplo, 514 para UDP y 601 para TCP).
- Protocolo: Selecciona UDP o TCP según la configuración de Bindplane.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`action`	`event.idm.read_only_udm.security_result.action`	Si `action` es "drop", se establece en "BLOCK".
`attack_desc`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente.
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	Se asigna directamente.
`command`	`event.idm.read_only_udm.principal.process.command_line`	Se asigna directamente.
`description`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente si `attack_desc` está vacío.
`dst_ip`	`event.idm.read_only_udm.target.ip`	Se asigna directamente.
`dst_port`	`event.idm.read_only_udm.target.port`	Se asigna directamente y se convierte en un número entero. Se establece en "MACHINE" si `username` está presente y `command` no. Se copió del campo `collection_time` del registro sin procesar. El valor predeterminado es "NETWORK_CONNECTION". Se establece en "GENERIC_EVENT" si falta `src_ip` o `dst_ip`. Se establece en "USER_LOGIN" si `username` está presente y `command` no lo está. Se puede anular con lógica basada en `attack_id`. Se debe establecer en "RADWARE_FIREWALL". Se asignó desde el campo `product`. Se debe establecer en "Radware".
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	Se asigna directamente.
`obv_ip`	`event.idm.read_only_udm.observer.ip`	Se asigna directamente.
`product`	`event.idm.read_only_udm.metadata.product_name`	Se asigna directamente.
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	Se analiza con la lógica `parse_ip_protocol.include`.
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Se asigna directamente. Se deriva en función del valor de `attack_id`. Los valores incluyen "ACL_VIOLATION", "NETWORK_DENIAL_OF_SERVICE", "NETWORK_SUSPICIOUS", "NETWORK_RECON".
`src_ip`	`event.idm.read_only_udm.principal.ip`	Se asigna directamente.
`src_port`	`event.idm.read_only_udm.principal.port`	Se asigna directamente y se convierte en un número entero.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza y convierte en una marca de tiempo.
`username`	`event.idm.read_only_udm.target.user.userid`	Se asigna directamente si `command` no está presente.
`username`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente si `command` está presente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.