本頁面由 Cloud Translation API 翻譯而成。

收集 Radware WAF 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 Radware Web Application Firewall (WAF) 記錄。剖析器會使用 grok 模式從 Radware 防火牆系統記錄訊息中擷取欄位，並將這些欄位對應至 UDM。可處理各種記錄格式、根據攻擊詳細資料填入安全性結果欄位，並根據 attack_id 分類事件，進而擴充資料，供 Google SecOps 擷取。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認 AppWall 已安裝並設定 Radware Vision Reporter。
確認您具備 Radware WAF 入口網站的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace with your specific IP and port
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Path to the ingestion authentication file
    creds: '/path/to/your/ingestion-auth.json'
    # Your Chronicle customer ID
    customer_id: 'your_customer_id'
    endpoint: malachiteingestion-pa.googleapis.com
    ingestion_labels:
      log_type: SYSLOG
      namespace: radware_waf
      raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Radware AppWall WAF

如要完成工作，請進行下列三項設定：

使用 Vision Reporter 設定 AppWall 獨立裝置。
使用 Vision Reporter 在 Alteon 中設定整合式 AppWall (在事件詳細資料中加入 HTTP 要求資料)。
設定 Vision Reporter，將記錄傳送至 Bindplane 代理程式。

使用 Vision Reporter 設定 AppWall Standalone

使用管理員憑證登入 Radware WAF 控制台。
依序前往「設定」>「服務」>「Vision Support」>「Vision Reporter」。
- 如要啟用記錄功能，請選取「將事件傳送至 Vision 報告工具」核取方塊。
- Vision Reporter 位址：輸入 Vision Reporter 的 IP 位址。
- 「Port」(通訊埠)：輸入通訊埠編號。
- 通訊協定：選取「UDP」或「TCP」。
- 如要納入 HTTP 回應資料，請勾選「將回覆傳送至 Vision Reporter」核取方塊。
按一下 [儲存]。

使用 Vision Reporter 在 Alteon 中設定整合式 AppWall (建議用於記錄 HTTP 要求資料)

使用管理員憑證登入 Radware WAF 控制台。
依序前往「設定」>「安全性」>「網頁安全性」>「Vision 報告工具」。
- 如要啟用記錄功能，請選取「將事件傳送至 Vision 報告工具」核取方塊。
- 勾選「將事件傳送至 Vision 報告工具」核取方塊。
- Vision Reporter IP 位址：輸入 Vision Reporter 的 IP 位址。
- 「Port」(通訊埠)：輸入高通訊埠編號。
- 安全性：選取「UDP」或「TCP」。
按一下 [儲存]。

設定 Vision Reporter，將記錄傳送至 Bindplane 代理程式

登入 Radware Vision Reporter 管理員控制台。
依序前往「設定」> SIEM 和外部記錄。
按一下「+ 新增 SIEM 目的地」。
- 目的地名稱：輸入「Google SecOps Forwarder」。
- 記錄匯出類型：選取「Syslog」(RFC 5424 格式)，以匯出結構化記錄。
- 在「Remote Syslog Server IP」(遠端 Syslog 伺服器 IP) 中，輸入 Bindplane 代理程式的 IP 位址。
- 「通訊埠」：輸入 Bindplane 代理程式監聽的通訊埠 (例如 UDP 的 514，TCP 的 601)。
- 通訊協定：視 Bindplane 設定選取 UDP 或 TCP。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`action`	`event.idm.read_only_udm.security_result.action`	如果 `action` 為「drop」，請設為「BLOCK」。
`attack_desc`	`event.idm.read_only_udm.security_result.description`	直接對應。
`attack_type`	`event.idm.read_only_udm.security_result.threat_name`	直接對應。
`command`	`event.idm.read_only_udm.principal.process.command_line`	直接對應。
`description`	`event.idm.read_only_udm.security_result.description`	如果 `attack_desc` 為空白，則直接對應。
`dst_ip`	`event.idm.read_only_udm.target.ip`	直接對應。
`dst_port`	`event.idm.read_only_udm.target.port`	直接對應，轉換為整數。如果 `username` 存在但 `command` 不存在，請設為「MACHINE」。從原始記錄的 `collection_time` 欄位複製。預設值為「NETWORK_CONNECTION」。如果缺少 `src_ip` 或 `dst_ip`，請設為「GENERIC_EVENT」。如果存在 `username` 但不存在 `command`，則設為「USER_LOGIN」。可根據 `attack_id` 覆寫邏輯。設為「RADWARE_FIREWALL」。對應「`product`」欄位。設為「Radware」。
`intermediary_ip`	`event.idm.read_only_udm.intermediary.ip`	直接對應。
`obv_ip`	`event.idm.read_only_udm.observer.ip`	直接對應。
`product`	`event.idm.read_only_udm.metadata.product_name`	直接對應。
`protocol_number_src`	`event.idm.read_only_udm.network.ip_protocol`	使用 `parse_ip_protocol.include` 邏輯剖析。
`rule_id`	`event.idm.read_only_udm.security_result.rule_id`	直接對應。根據 `attack_id` 的值衍生而來。值包括「ACL_VIOLATION」、「NETWORK_DENIAL_OF_SERVICE」、「NETWORK_SUSPICIOUS」、「NETWORK_RECON」。
`src_ip`	`event.idm.read_only_udm.principal.ip`	直接對應。
`src_port`	`event.idm.read_only_udm.principal.port`	直接對應，並轉換為整數。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	已剖析並轉換為時間戳記。
`username`	`event.idm.read_only_udm.target.user.userid`	如果沒有 `command`，則直接對應。
`username`	`event.idm.read_only_udm.principal.user.userid`	如果 `command` 存在，則直接對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。