此页面由 Cloud Translation API 翻译。

收集 Radware WAF 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 Radware Web 应用防火墙 (WAF) 日志。解析器使用 Grok 模式从 Radware 防火墙 syslog 消息中提取字段，并将这些字段映射到 UDM。它可处理各种日志格式，根据攻击详情填充安全结果字段，并根据 attack_id 对事件进行分类，从而丰富数据以供 Google SecOps 提取。

准备工作

确保您拥有 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
确保在 AppWall 上安装并配置了 Radware Vision Reporter。
确保您拥有对 Radware WAF 门户的特权访问权限。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 代理的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane Agent，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Radware AppWall WAF

如需完成这些任务，请执行以下三项配置：

使用 Vision Reporter 配置 AppWall 独立版。
使用 Vision Reporter 在 Alteon 中配置集成式 AppWall（在事件详情中包含 HTTP 请求数据）。
配置 Vision Reporter 以将日志发送到 Bindplane 代理。

使用 Vision Reporter 配置 AppWall Standalone

使用管理员凭据登录 Radware WAF 控制台。
依次前往配置 > 服务 > 视觉支持 > 视觉报告器。
- 通过选中将事件发送到 Vision Reporter 复选框来启用日志记录。
- Vision Reporter 地址：输入 Vision Reporter 的 IP 地址。
- 端口：输入端口号。
- 协议：选择 UDP 或 TCP。
- 如需纳入 HTTP 响应数据，请选中向 Vision Reporter 发送回复复选框。
点击保存。

使用 Vision Reporter 在 Alteon 中配置集成式 AppWall（首选用于 HTTP 请求数据日志记录）

使用管理员凭据登录 Radware WAF 控制台。
依次前往配置 > 安全性 > 网络安全 > Vision Reporter。
- 通过选中将事件发送到 Vision Reporter 复选框来启用日志记录。
- 选中将事件发送到 Vision 报告器复选框。
- Vision Reporter IP 地址：输入 Vision Reporter 的 IP 地址。
- 端口：输入一个高端口号。
- 安全性：选择 UDP 或 TCP。
点击保存。

配置 Vision Reporter 以将日志发送到 Bindplane 代理

登录 Radware Vision Reporter 管理员控制台。
依次前往配置 > SIEM 和外部日志记录。
点击 + 添加新的 SIEM 目标。
- Destination Name（目标名称）：输入 Google SecOps Forwarder。
- 日志导出类型：选择 Syslog（RFC 5424 格式）以进行结构化日志记录。
- 在远程 Syslog 服务器 IP 中，输入 Bindplane Agent 的 IP 地址。
- 端口：输入 Bindplane 代理侦听的端口（例如，UDP 为 514，TCP 为 601）。
- 协议：根据 Bindplane 配置选择 UDP 或 TCP。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
`action`	`event.idm.read_only_udm.security_result.action`	如果 `action` 为“drop”，则设置为“BLOCK”。
`attack_desc`	`event.idm.read_only_udm.security_result.description`	直接映射。
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	直接映射。
`command`	`event.idm.read_only_udm.principal.process.command_line`	直接映射。
`description`	`event.idm.read_only_udm.security_result.description`	如果 `attack_desc` 为空，则直接映射。
`dst_ip`	`event.idm.read_only_udm.target.ip`	直接映射。
`dst_port`	`event.idm.read_only_udm.target.port`	直接映射，转换为整数。如果存在 `username` 但不存在 `command`，则设置为“MACHINE”。从原始日志的 `collection_time` 字段复制。默认值为“NETWORK_CONNECTION”。如果缺少 `src_ip` 或 `dst_ip`，则设置为“GENERIC_EVENT”。如果存在 `username` 但不存在 `command`，则设置为“USER_LOGIN”。可被基于 `attack_id` 的逻辑替换。设置为“RADWARE_FIREWALL”。从 `product` 字段映射。设置为“Radware”。
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	直接映射。
`obv_ip`	`event.idm.read_only_udm.observer.ip`	直接映射。
`product`	`event.idm.read_only_udm.metadata.product_name`	直接映射。
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	使用 `parse_ip_protocol.include` 逻辑进行解析。
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	直接映射。根据 `attack_id` 的值派生。值包括“ACL_VIOLATION”“NETWORK_DENIAL_OF_SERVICE”“NETWORK_SUSPICIOUS”“NETWORK_RECON”。
`src_ip`	`event.idm.read_only_udm.principal.ip`	直接映射。
`src_port`	`event.idm.read_only_udm.principal.port`	直接映射，转换为整数。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	已解析并转换为时间戳。
`username`	`event.idm.read_only_udm.target.user.userid`	如果不存在 `command`，则直接映射。
`username`	`event.idm.read_only_udm.principal.user.userid`	如果存在 `command`，则直接映射。