Raccogliere i log WAF di Radware

Supportato in:

Questo documento spiega come raccogliere i log del firewall per applicazioni web (WAF) Radware utilizzando un forwarder Google Security Operations. Il parser estrae i campi dai messaggi syslog del firewall Radware utilizzando i pattern grok e li mappa a UDM. Gestisce vari formati di log, compila i campi dei risultati di sicurezza in base ai dettagli dell'attacco e classifica gli eventi in base a attack_id, arricchendo i dati per l'importazione in Google SecOps.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati che Radware Vision Reporter sia installato e configurato su AppWall.
  • Assicurati di disporre dell'accesso con privilegi al portale WAF di Radware.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare Bindplane Agent in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Radware AppWall WAF

Per completare le attività, esegui le tre configurazioni seguenti:

  • Configura AppWall standalone utilizzando Vision Reporter.
  • Configura AppWall integrato in Alteon utilizzando Vision Reporter (includi i dati delle richieste HTTP nei dettagli dell'evento).
  • Configura Vision Reporter per inviare i log all'agente Bindplane.

Configura AppWall Standalone utilizzando Vision Reporter

  1. Accedi alla console Radware WAF utilizzando le credenziali di amministratore.
  2. Vai a Configurazione > Servizi > Supporto per la visione > Vision Reporter.
    • Attiva la registrazione selezionando la casella di controllo Invia eventi a Vision Reporter.
    • Indirizzo di Vision Reporter: inserisci l'indirizzo IP di Vision Reporter.
    • Porta: inserisci il numero di porta.
    • Protocollo: seleziona UDP o TCP.
    • Per includere i dati di risposta HTTP, seleziona la casella di controllo Invia risposte a Vision Reporter.
  3. Fai clic su Salva.

Configura Integrated AppWall in Alteon utilizzando Vision Reporter (opzione preferita per la registrazione dei dati delle richieste HTTP)

  1. Accedi alla console WAF di Radware utilizzando le credenziali di amministratore.
  2. Vai a Configurazione > Sicurezza > Sicurezza web > Vision Reporter.
    • Attiva la registrazione selezionando la casella di controllo Invia eventi a Vision Reporter.
    • Seleziona la casella di controllo Invia eventi a Vision Reporter.
    • Indirizzo IP di Vision Reporter: inserisci l'indirizzo IP di Vision Reporter.
    • Porta: inserisci un numero di porta elevato.
    • Sicurezza: seleziona UDP o TCP.
  3. Fai clic su Salva.

Configura Vision Reporter per inviare i log all'agente Bindplane

  1. Accedi alla console di amministrazione di Radware Vision Reporter.
  2. Vai a Configurazione > SIEM e logging esterno.
  3. Fai clic su + Aggiungi nuova destinazione SIEM.
    • Destination Name (Nome destinazione): inserisci Google SecOps Forwarder.
    • Tipo di esportazione log: seleziona Syslog (formato RFC 5424) per il logging strutturato.
    • In IP server Syslog remoto, inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta: inserisci una porta su cui Bindplane Agent è in ascolto (ad esempio, 514 per UDP, 601 per TCP).
    • Protocollo: seleziona UDP o TCP a seconda della configurazione di Bindplane.
  4. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
action event.idm.read_only_udm.security_result.action Se action è "drop", impostalo su "BLOCK".
attack_desc event.idm.read_only_udm.security_result.description Mappato direttamente.
attack_type event.idm.read_only_udm.security_result.threat_name Mappato direttamente.
command event.idm.read_only_udm.principal.process.command_line Mappato direttamente.
description event.idm.read_only_udm.security_result.description Mappato direttamente se attack_desc è vuoto.
dst_ip event.idm.read_only_udm.target.ip Mappato direttamente.
dst_port event.idm.read_only_udm.target.port Mappato direttamente, convertito in numero intero. Imposta il valore su "MACHINE" se username è presente e command non lo è. Copiato dal campo collection_time del log non elaborato. Il valore predefinito è "NETWORK_CONNECTION". Imposta su "GENERIC_EVENT" se mancano src_ip o dst_ip. Impostato su "USER_LOGIN" se username è presente e command non è presente. Può essere sostituito dalla logica basata su attack_id. Imposta il valore su "RADWARE_FIREWALL". Mappato dal campo product. Imposta "Radware".
intermediary_ip event.idm.read_only_udm.intermediary.ip Mappato direttamente.
obv_ip event.idm.read_only_udm.observer.ip Mappato direttamente.
product event.idm.read_only_udm.metadata.product_name Mappato direttamente.
protocol_number_src event.idm.read_only_udm.network.ip_protocol Analizzati utilizzando la logica parse_ip_protocol.include.
rule_id event.idm.read_only_udm.security_result.rule_id Mappato direttamente. Derivato in base al valore di attack_id. I valori includono "ACL_VIOLATION", "NETWORK_DENIAL_OF_SERVICE", "NETWORK_SUSPICIOUS", "NETWORK_RECON".
src_ip event.idm.read_only_udm.principal.ip Mappato direttamente.
src_port event.idm.read_only_udm.principal.port Mappato direttamente, convertito in numero intero.
ts event.idm.read_only_udm.metadata.event_timestamp Analizzato e convertito in timestamp.
username event.idm.read_only_udm.target.user.userid Mappato direttamente se command non è presente.
username event.idm.read_only_udm.principal.user.userid Mappato direttamente se è presente command.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.