Aqua Security-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus Aqua Security-Logs und wandelt sie in das Unified Data Model (UDM) um. Das Feld message wird als JSON geparst, Nutzer, Quell-IP und andere relevante Felder werden extrahiert, UDM-Feldern zugeordnet und Ereignisse werden anhand des Felds action kategorisiert. Die Daten werden mit Sicherheitskontext wie Regelnamen, Beschreibungen und CVE-Details angereichert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf die Aqua Security-Verwaltungskonsole.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Aqua Security Logs (Aqua Security-Protokolle).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Aqua Security als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  11. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  12. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
  13. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  14. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Schränken Sie den API-Schlüsselzugriff auf die Chronicle API ein.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.

  2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: Die URL des Feed-Endpunkts.
    • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.
    • SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in Aqua Security für Google SecOps erstellen

  1. Melden Sie sich in der Aqua Security-Konsole an.
  2. Rufen Sie die Einstellungen > Webhook für Bildscanergebnisse auf.
  3. Klicken Sie das Kästchen Ergebnisse des Bildscans senden an.
  4. Geben Sie die <ENDPOINT_URL> ein, gefolgt von <API_KEY> und <SECRET>.
  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld (aufsteigend) UDM-Zuordnung Logik
jsonPayload.action metadata.event_type Wird auf Grundlage des Werts von „jsonPayload.action“ zugeordnet. Spezifische Zuordnungen finden Sie im Parsercode.
jsonPayload.action security_result.summary Direkt zugeordnet.
jsonPayload.adjective target.file.full_path Direkt zugeordnet, wenn „jsonPayload.container“ leer ist.
jsonPayload.category target.asset.category Direkt zugeordnet.
jsonPayload.cfappname target.application Direkt zugeordnet.
jsonPayload.cfspace principal.user.userid Direkt zugeordnet, wenn „jsonPayload.user“ leer ist.
jsonPayload.command principal.ip Extrahierte Daten mit dem Grok-Muster „user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)“.
jsonPayload.command principal.user.userid Extrahierte Daten mit dem Grok-Muster „user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)“.
jsonPayload.container target.asset.product_object_id Direkt zugeordnet.
jsonPayload.data security_result.detection_fields Als Schlüssel/Wert-Paare geparst und einzelnen Feldern in „security_result.detection_fields“ zugeordnet.
jsonPayload.description security_result.description Direkt zugeordnet, wenn „jsonPayload.reason“ leer ist.
jsonPayload.host principal.hostname Direkt zugeordnet.
jsonPayload.hostgroup target.group.group_display_name Direkt zugeordnet.
jsonPayload.hostid target.asset_id Zugeordnet als „Host-ID: %{jsonPayload.hostid}“.
jsonPayload.hostip target.ip Direkt zugeordnet.
jsonPayload.image target.file.full_path Direkt zugeordnet.
jsonPayload.level security_result.action Auf „ALLOW“ festgelegt, wenn „jsonPayload.level“ „success“ ist.
jsonPayload.reason security_result.description Direkt zugeordnet.
jsonPayload.rule security_result.rule_name Direkt zugeordnet.
jsonPayload.user principal.user.userid Direkt zugeordnet.
jsonPayload.vm_location target.asset.location.name Direkt zugeordnet.
jsonPayload.vm_name target.resource.name Direkt zugeordnet.
resource.labels.instance_id target.resource.id Direkt zugeordnet.
resource.labels.project_id target.asset.attribute.cloud.project.id Direkt zugeordnet.
resource.labels.zone target.asset.attribute.cloud.availability_zone Direkt zugeordnet.
timestamp metadata.event_timestamp Direkt zugeordnet nach der Konvertierung ins ISO8601-Format.
extensions.auth.type Auf „SSO“ gesetzt, wenn „jsonPayload.description“ „SAML“ enthält. Andernfalls auf „AUTHTYPE_UNSPECIFIED“ gesetzt, wenn „jsonPayload.action“ „login“ oder „Login“ ist.
metadata.log_type Legen Sie diesen Wert auf „AQUA_SECURITY“ fest.
metadata.product_name Legen Sie diesen Wert auf „AQUA_SECURITY“ fest.
metadata.vendor_name Legen Sie diesen Wert auf „AQUA_SECURITY“ fest.
target.asset.attribute.cloud.environment Legen Sie diesen Wert auf „GOOGLE_CLOUD_PLATFORM“ fest.
target.resource.type Legen Sie diesen Wert auf „VIRTUAL_MACHINE“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten