Como integrar WAF com SIEMs

Seus registros do Web Application Firewall (WAF) podem ser integrados a plataformas Security Information and Event Management (SIEM) por meio do Data Stream para monitorar comportamentos, desempenho e segurança de suas edge applications.

Saiba mais sobre Data Stream

Acesse o Azion Console > Data Stream.
Clique em + Stream.
Escolha um nome único e fácil de lembrar.
No menu suspenso Source, selecione Edge Applications.
No menu suspenso Template, selecione Edge Applications + WAF Event Collector.
Em Option, escolha entre Filter Domains ou All Current and Future Domains.

Encontre mais informações sobre cada opção em Como associar domínios no Data Stream.

Na seção Destination, selecione um Endpoint Type no menu suspenso: Standard HTTP/HTTPS POST, Apache Kafka, Simple Storage Service (S3), Google BigQuery, Elasticsearch, Splunk, AWS Kinesis Data Firehose, Datadog, IBM QRadar, Azure Monitor ou Azure Blob Storage.

Você verá campos diferentes dependendo do tipo de endpoint escolhido. Encontre mais informações sobre cada um deles no guia específico para o endpoint na seção de Observe na página de guias.

Clique no botão Save.

Execute a seguinte requisição POST, substituindo [TOKEN VALUE] pelo seu personal token:

curl --request POST --url https://api.azion.com/v4/data_stream/streams --header 'Accept: application/json' --header 'Authorization: Token [TOKEN VALUE]' --header 'Content-Type: application/json' --data '{
  "name": "Conector Kafka",
  "active": true,
  "inputs": [
    {
      "type": "raw_logs",
      "attributes": {
        "data_source": "http"
      }
    }
  ],
  "transform": [
    {
      "type": "sampling",
      "attributes": {
        "rate": 100
      }
    }
  ],
  "outputs": [
    {
      "type": "kafka",
      "attributes": {
        "bootstrap_servers": "infra.my.net:9094,infra.my.net:9094",
        "topic": "mykafka.dts.topic"
      }
    }
  ]
}'

Aguarde alguns minutos para que as alterações se propaguem e seu stream será criado.