Barracuda 集成
编辑Barracuda 集成
编辑此集成用于 Barracuda 设备的日志。它包括以下数据集,用于通过 syslog 接收日志或从文件读取日志
-
waf数据集:支持 Barracuda Web Application Firewall 日志。
使用 Barracuda WAF 数据流来摄取日志数据。然后在 Kibana 中可视化该数据,创建警报以在出现问题时通知您,并在解决问题时引用 data_stream.dataset:barracuda.waf。
升级
编辑技术预览 spamfirewall 数据流已弃用并已删除,自此集成的 v1.0 版本起。在我们致力于替换 Spam Firewall 集成时,您可以继续使用 Spam Firewall filebeat 模块。
WAF
编辑Barracuda Web Application Firewall 可保护应用程序、API 和移动应用程序后端免受各种攻击,包括 OWASP Top 10、零日威胁、数据泄漏和应用程序层拒绝服务 (DoS) 攻击。通过结合基于签名的策略和积极的安全措施以及强大的异常检测功能,Barracuda Web Application Firewall 可以击败当今针对您的 Web 应用程序的最复杂攻击。
要求
编辑此集成是针对 Barracuda Web Application Firewall 版本 12.1 构建和测试的。早期版本可能可以使用,但尚未经过测试。
您需要 Elasticsearch 用于存储和搜索您的数据,以及 Kibana 用于可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或在您自己的硬件上自行管理 Elastic Stack。
设置
编辑有关如何设置集成的分步说明,请查看入门指南。
WAF 事件
编辑barracuda.waf 数据集提供来自配置的 syslog 服务器的事件。所有 Barracuda WAF syslog 特定字段都可在 barracuda.waf 字段组中使用。
示例
waf 的示例事件如下所示
{
"@timestamp": "2023-03-01T13:54:44.502Z",
"agent": {
"ephemeral_id": "082058a9-1e00-4c3a-8511-2deba0ef160f",
"id": "11940e5d-16a1-424a-aeb2-97fb8029a5d0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.4.0"
},
"barracuda": {
"waf": {
"log_type": "WF",
"unit_name": "barracuda"
}
},
"data_stream": {
"dataset": "barracuda.waf",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "11940e5d-16a1-424a-aeb2-97fb8029a5d0",
"snapshot": false,
"version": "8.4.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-03-01T13:54:44.502Z",
"dataset": "barracuda.waf",
"ingested": "2023-03-29T09:12:07Z",
"original": "<129>2023-03-01 14:54:44.502 +0100 barracuda WF ALER NO_PARAM_PROFILE_MATCH 193.56.29.26 61507 10.9.0.4 443 Hackazon:adaptive_url_42099b4af021e53fd8fd URL_PROFILE LOG NONE [Parameter\\=\"0x\\\\\[\\\\\]\" value\\=\"androxgh0st\"] POST / TLSv1.2 \"-\" \"Mozilla/5.0 (Linux; U; Android 4.4.2; en-US; HM NOTE 1W Build/KOT49H) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 UCBrowser/11.0.5.850 U3/0.8.0 Mobile Safari/534.30\" 20.88.228.79 61507 \"-\" \"-\" 1869d743696-dfcf8d96",
"timezone": "+00:00"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "172.24.0.4:60938"
}
},
"observer": {
"product": "Web",
"type": "WAF",
"vendor": "Barracuda"
},
"tags": [
"preserve_original_event",
"barracuda-waf",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
barracuda.waf.action_taken |
对流量应用的适当操作。DENY - 表示流量被拒绝。LOG - 表示使用分配的规则监视流量。WARNING - 警告流量。 |
关键词 |
barracuda.waf.additional_data |
提供有关参数更改的更多信息。 |
关键词 |
barracuda.waf.attack_description |
由请求触发的攻击的名称。 |
关键词 |
barracuda.waf.attack_details |
由请求触发的攻击的详细信息。 |
关键词 |
barracuda.waf.authenticated_user |
当前经过身份验证的客户端请求网页的用户名。仅当请求用于使用 AAA(访问控制)模块的服务时,此信息才可用。 |
关键词 |
barracuda.waf.cache_hit |
指定响应是从 Barracuda Web Application Firewall 缓存还是从后端服务器提供的。值:0 - 如果请求是从服务器获取并提供给用户。1 - 如果请求是从缓存获取并提供给用户。 |
长整型 |
barracuda.waf.client_type |
这表示 GUI 用作客户端来访问 Barracuda Web Application Firewall。 |
关键词 |
barracuda.waf.command_name |
在 Barracuda Web Application Firewall 上执行的命令的名称。 |
关键词 |
barracuda.waf.custom_header.accept_encoding |
访问日志中的标头 Accept-Encoding。 |
关键词 |
barracuda.waf.custom_header.cache_control |
访问日志中的标头 Cache-Control。 |
关键词 |
barracuda.waf.custom_header.connection |
访问日志中的标头 Connection。 |
关键词 |
barracuda.waf.custom_header.content_type |
访问日志中的标头 Content-Type。 |
关键词 |
barracuda.waf.custom_header.host |
访问日志中的标头 Host。 |
关键词 |
barracuda.waf.custom_header.user_agent |
访问日志中的标头 User-Agent。 |
关键词 |
barracuda.waf.followup_action |
操作策略指定的后续操作。如果选择锁定,则可以为 None 或 Locked。 |
关键词 |
barracuda.waf.log_type |
指定日志的类型 - Web 防火墙日志、访问日志、审计日志、网络防火墙日志或系统日志 - WF、TR、AUDIT、NF、SYS。 |
关键词 |
barracuda.waf.module.event_id |
模块的事件 ID。 |
长整型 |
barracuda.waf.module.event_message |
表示发生的事件的日志消息。 |
关键词 |
barracuda.waf.module.name |
表示生成日志的模块的名称。 |
关键词 |
barracuda.waf.new_value |
修改后的值。 |
关键词 |
barracuda.waf.object_type |
正在修改的对象的类型。 |
关键词 |
barracuda.waf.old_value |
修改前的值。 |
关键词 |
barracuda.waf.policy |
应用于此 ACL 规则的 ACL 策略(允许或拒绝)。 |
关键词 |
barracuda.waf.profile_matched |
指定请求是否与定义的 URL 或参数配置文件匹配。值:DEFAULT、PROFILED。 |
关键词 |
barracuda.waf.protected |
指定请求是否通过 Barracuda Web Application Firewall 规则和策略检查。值:PASSIVE、PROTECTED、UNPROTECTED。 |
关键词 |
barracuda.waf.protocol |
用于请求的协议。 |
关键词 |
barracuda.waf.proxy.ip |
提供代理的 IP 地址。 |
ip |
barracuda.waf.proxy.port |
代理服务器的端口。 |
长整型 |
barracuda.waf.request_cookie |
指定请求是否有效。值:INVALID、VALID。 |
关键词 |
barracuda.waf.response_timetaken |
从请求到达 Barracuda Web Application Firewall 到最后一个字节发送给客户端所花费的总时间。 |
长整型 |
barracuda.waf.response_type |
指定响应来自后端服务器还是来自 Barracuda Web Application Firewall。值:INTERNAL、SERVER。 |
关键词 |
barracuda.waf.ruleName |
与请求匹配的 URL ACL 的路径。此处“webapp1”是 Web 应用程序,“deny_ban_dir”是 URL ACL 的名称 |
关键词 |
barracuda.waf.rule_type |
这表示请求命中的导致攻击的规则类型。以下是规则类型预期值的列表:Global - 表示请求与安全策略下配置的全局规则之一匹配。Global URL ACL - 表示请求与安全策略下配置的全局 URL ACL 规则之一匹配。URL ACL - 表示请求与为给定网站专门配置的允许/拒绝规则之一匹配。URL Policy - 表示请求与为给定网站专门配置的高级安全规则之一匹配。URL Profile - 表示请求与在 URL 配置文件上配置的规则之一匹配。Parameter Profile - 表示请求与在参数配置文件上配置的规则之一匹配。Header Profile - 表示请求与在标头配置文件上配置的规则之一匹配。 |
关键词 |
barracuda.waf.server_time |
后端服务器处理 Barracuda Web Application Firewall 转发给它的请求所花费的总时间。 |
长整型 |
barracuda.waf.sessionid |
如果启用了会话跟踪,则请求中找到的会话令牌的值。 |
关键词 |
barracuda.waf.severity_level |
定义攻击的严重程度。EMERGENCY - 系统无法使用(最高优先级)。ALERT - 必须立即采取响应。CRITICAL - 严重状况。ERROR - 错误状况。WARNING - 警告状况。NOTICE - 正常但重要的状况。INFORMATION - 信息性消息(关于 ACL 配置更改)。DEBUG - 调试级别消息(最低优先级)。 |
关键词 |
barracuda.waf.transaction_id |
指定进行持久更改的事务的事务 ID。注意:不更改任何内容的事件没有事务 ID。这由事务 ID -1 表示。 |
长整型 |
barracuda.waf.transaction_type |
表示系统管理员执行的事务的类型。值:LOGIN、LOGOUT、CONFIG、COMMAND、ROLLBACK、RESTORE、REBOOT、SHUTDOWN、FIRMWARE UPDATE、ENERGIZE UPDATE、SUPPORT TUNNEL OPEN、SUPPORT TUNNEL CLOSED、FIRMWARE APPLY、FIRMWARE REVERT、TRANSPARENT MODE、UNSUCCESSFUL LOGIN、ADMIN ACCESS VIOLATION。 |
关键词 |
barracuda.waf.unit_name |
指定单元的名称。 |
关键词 |
barracuda.waf.user_id |
用户的标识符。 |
关键词 |
barracuda.waf.wf_matched |
指定请求是否有效。值:INVALID、VALID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
常量关键词 |
data_stream.namespace |
数据流命名空间。 |
常量关键词 |
data_stream.type |
数据流类型。 |
常量关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键词 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.17.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.15.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.11.2 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.11.1 |
Bug 修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.9.1 |
Bug 修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
0.13.1 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.1 |
Bug 修复 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.2 |
Bug 修复 (查看拉取请求) |
— |
0.11.1 |
增强 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.1 |
Bug 修复 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.4 |
增强 (查看拉取请求) |
— |
0.6.3 |
增强 (查看拉取请求) |
— |
0.6.2 |
Bug 修复 (查看拉取请求) |
— |
0.6.1 |
Bug 修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.3 |
Bug 修复 (查看拉取请求) |
— |
0.5.2 |
增强 (查看拉取请求) |
— |
0.5.1 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.4 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |