Como integrar WAF com SIEMs
Seus registros do Web Application Firewall (WAF) podem ser integrados a plataformas Security Information and Event Management (SIEM) por meio do Data Stream para monitorar comportamentos, desempenho e segurança de suas edge applications.
Saiba mais sobre Data Stream- Acesse o Azion Console > Data Stream.
- Clique em + Stream.
- Escolha um nome único e fácil de lembrar.
- No menu suspenso Source, selecione Edge Applications.
- No menu suspenso Template, selecione Edge Applications + WAF Event Collector.
- Em Option, escolha entre Filter Domains ou All Current and Future Domains.
- Encontre mais informações sobre cada opção em Como associar domínios no Data Stream.
- Na seção Destination, selecione um Endpoint Type no menu suspenso: Standard HTTP/HTTPS POST, Apache Kafka, Simple Storage Service (S3), Google BigQuery, Elasticsearch, Splunk, AWS Kinesis Data Firehose, Datadog, IBM QRadar, Azure Monitor ou Azure Blob Storage.
- Você verá campos diferentes dependendo do tipo de endpoint escolhido. Encontre mais informações sobre cada um deles no guia específico para o endpoint na seção de Observe na página de guias.
- Clique no botão Save.
- Acesse o Real-Time Manager (RTM) > Data Stream.
- Clique em Add Stream.
- Escolha um nome único e fácil de lembrar.
- No menu suspenso Data Source, selecione Edge Applications.
- No menu suspenso Template, selecione Edge Applications + WAF Event Collector.
- Em Options, escolha entre Filter Domains ou All Domains.
- Encontre mais informações sobre cada opção em Como associar domínios no Data Stream.
- Na seção Destination, selecione um Endpoint Type no menu suspenso: Standard HTTP/HTTPS POST, Apache Kafka, Simple Storage Service (S3), Google BigQuery, Elasticsearch, Splunk, AWS Kinesis Data Firehose, Datadog, IBM QRadar, Azure Monitor ou Azure Blob Storage.
- Você verá campos diferentes dependendo do tipo de endpoint escolhido. Encontre mais informações sobre cada um deles no guia específico para o endpoint na seção de Observe na página de guias.
- Clique no botão Save.
- Execute a seguinte requisição
POST, substituindo[TOKEN VALUE]pelo seu personal token:
curl --location 'https://api.azionapi.net/data_streaming/streamings' \--header 'Accept: application/json; version=3' \--header 'Authorization: Token [TOKEN VALUE]' \--header 'Content-Type: application/json' \--data '{ "name": "Conector Kafka", "template_id": 184, "domain_ids": [1656613172], "data_source": "http", "endpoint": { "endpoint_type": "kafka", "kafka_topic": "mykafka.dts.topic", "bootstrap_servers": "infra.my.net:9094,infra.my.net:9094" }, "all_domains": false}'- Você receberá uma resposta semelhante a esta:
{ "results": { "id": 1594, "name": "Conector Kafka", "template_id": 184, "data_source": "http", "active": true, "endpoint": { "endpoint_type": "kafka", "use_tls": false, "kafka_topic": "mykafka.dts.topic", "bootstrap_servers": "infra.my.net:9094,infra.my.net:9094" }, "all_domains": false }, "schema_version": 3}Aguarde alguns minutos para que as alterações se propaguem e seu stream será criado.
Contribuidores