Mengumpulkan log Radware WAF

Dokumen ini menjelaskan cara mengumpulkan log Radware Web Application Firewall (WAF) menggunakan penerusan Google Security Operations. Parser mengekstrak kolom dari pesan syslog firewall Radware menggunakan pola grok, dan memetakannya ke UDM. Log ini menangani berbagai format log, mengisi kolom hasil keamanan berdasarkan detail serangan, dan mengategorikan peristiwa berdasarkan attack_id, yang memperkaya data untuk penyerapan Google SecOps.

Sebelum memulai

• Pastikan Anda memiliki instance Google Security Operations.
• Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Jika berjalan di belakang proxy, pastikan port firewall terbuka.
• Pastikan Radware Vision Reporter diinstal dan dikonfigurasi di AppWall.
• Pastikan Anda memiliki akses istimewa ke portal WAF Radware.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane Agent akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:

   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     udplog:
       # Replace with your specific IP and port
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Path to the ingestion authentication file
       creds: '/path/to/your/ingestion-auth.json'
       # Your Chronicle customer ID
       customer_id: 'your_customer_id'
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
         log_type: SYSLOG
         namespace: radware_waf
         raw_log_field: body
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

• Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
• Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
• Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Bindplane Agent untuk menerapkan perubahan

• Untuk memulai ulang Agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang Bindplane Agent di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi WAF Radware AppWall

Untuk menyelesaikan tugas, lakukan tiga konfigurasi berikut:

• Konfigurasi AppWall mandiri menggunakan Vision Reporter.
• Konfigurasi AppWall terintegrasi di Alteon menggunakan Vision Reporter (sertakan data permintaan HTTP dalam detail peristiwa).
• Mengonfigurasi Vision Reporter untuk Mengirim Log ke Agen BindPlane.

Mengonfigurasi AppWall Standalone menggunakan Vision Reporter

1. Login ke konsol Radware WAF menggunakan kredensial administrator.
2. Buka Configuration > Services > Vision Support > Vision Reporter.
   • Aktifkan logging dengan memilih kotak centang Kirim peristiwa ke Vision Reporter.
   • Alamat Vision Reporter: masukkan alamat IP Vision Reporter.
   • Port: masukkan nomor port.
   • Protocol: pilih UDP atau TCP.
   • Untuk menyertakan data respons HTTP, centang kotak Kirim balasan ke Vision Reporter.
3. Klik Simpan.

Mengonfigurasi AppWall Terintegrasi di Alteon menggunakan Vision Reporter (lebih disarankan untuk Logging Data Permintaan HTTP)

1. Login ke konsol Radware WAF menggunakan kredensial administrator.
2. Buka Configuration > Security > Web Security > Vision Reporter.
   • Aktifkan logging dengan memilih kotak centang Kirim peristiwa ke Vision Reporter.
   • Centang kotak Kirim peristiwa ke pelapor Vision.
   • Alamat IP Vision Reporter: masukkan alamat IP Vision Reporter.
   • Port: masukkan nomor port tinggi.
   • Keamanan: pilih UDP atau TCP.
3. Klik Simpan.

Mengonfigurasi Vision Reporter untuk mengirim log ke Agen BindPlane

1. Login ke konsol administrator Radware Vision Reporter.
2. Buka Konfigurasi > SIEM & Logging Eksternal.
3. Klik + Tambahkan Tujuan SIEM Baru.
   • Destination Name: masukkan Google SecOps Forwarder.
   • Jenis Ekspor Log: pilih Syslog (format RFC 5424) untuk logging terstruktur.
   • IP Server Syslog Jarak Jauh masukkan alamat IP Bindplane Agent.
   • Port: masukkan port yang diproses oleh Bindplane Agent (misalnya, 514 untuk UDP, 601 untuk TCP).
   • Protocol: pilih UDP atau TCP, bergantung pada konfigurasi Bindplane.
4. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
action	event.idm.read_only_udm.security_result.action	Jika action adalah "drop", tetapkan ke "BLOCK".
attack_desc	event.idm.read_only_udm.security_result.description	Dipetakan secara langsung.
attack_type	event.idm.read_only_udm.security_result.threat_name	Dipetakan secara langsung.
command	event.idm.read_only_udm.principal.process.command_line	Dipetakan secara langsung.
description	event.idm.read_only_udm.security_result.description	Dipetakan secara langsung jika attack_desc kosong.
dst_ip	event.idm.read_only_udm.target.ip	Dipetakan secara langsung.
dst_port	event.idm.read_only_udm.target.port	Dipetakan langsung, dikonversi menjadi bilangan bulat. Ditetapkan ke "MACHINE" jika username ada dan command tidak ada. Disalin dari kolom collection_time log mentah. Default-nya adalah "NETWORK_CONNECTION". Disetel ke "GENERIC_EVENT" jika src_ip atau dst_ip tidak ada. Disetel ke "USER_LOGIN" jika username ada dan command tidak ada. Dapat diganti dengan logika berdasarkan attack_id. Tetapkan ke "RADWARE_FIREWALL". Dipetakan dari kolom product. Tetapkan ke "Radware".
intermediary_ip	event.idm.read_only_udm.intermediary.ip	Dipetakan secara langsung.
obv_ip	event.idm.read_only_udm.observer.ip	Dipetakan secara langsung.
product	event.idm.read_only_udm.metadata.product_name	Dipetakan secara langsung.
protocol_number_src	event.idm.read_only_udm.network.ip_protocol	Diuraikan menggunakan logika parse_ip_protocol.include.
rule_id	event.idm.read_only_udm.security_result.rule_id	Dipetakan secara langsung. Diperoleh berdasarkan nilai attack_id. Nilai mencakup "ACL_VIOLATION", "NETWORK_DENIAL_OF_SERVICE", "NETWORK_SUSPICIOUS", "NETWORK_RECON".
src_ip	event.idm.read_only_udm.principal.ip	Dipetakan secara langsung.
src_port	event.idm.read_only_udm.principal.port	Dipetakan langsung, dikonversi menjadi bilangan bulat.
ts	event.idm.read_only_udm.metadata.event_timestamp	Diuraikan dan dikonversi menjadi stempel waktu.
username	event.idm.read_only_udm.target.user.userid	Dipetakan secara langsung jika command tidak ada.
username	event.idm.read_only_udm.principal.user.userid	Dipetakan secara langsung jika command ada.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.