Azion-Firewall-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus JSON-Protokollen der Azion-Firewall, führt Datentypkonvertierungen und ‑anreicherungen durch (z. B. User-Agent-Parsing) und ordnet die extrahierten Felder dem UDM zu. Es werden NETWORK_HTTP-, SCAN_UNCATEGORIZED- oder GENERIC_EVENT-Ereignisse basierend auf dem Vorhandensein von Prinzipal- und Zielcomputern generiert. Außerdem werden WAF-bezogene Felder und Aktionen verarbeitet und UDM-Feldern für Sicherheitsergebnisse zugeordnet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf AWS IAM und S3.
  • Privilegierter Zugriff auf ein aktives Azion-Konto.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die spätere Verwendung.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

Azion für die kontinuierliche Protokollübermittlung an Amazon S3 konfigurieren

  1. Rufen Sie in der Azion Console den Bereich DataStream auf.
  2. Klicken Sie auf + Stream.
  3. Geben Sie Werte für die folgenden Parameter an:
    • Name: Geben Sie einen eindeutigen und aussagekräftigen Namen an, um den Datenstream zu identifizieren.
    • Quelle: Wählen Sie die Quelle aus, aus der die Daten erfasst werden sollen.
    • Vorlage: Eine Voreinstellung von Variablen für bestimmte Quellen oder eine offene Vorlage, in der Sie Variablen auswählen können. Sie haben die Möglichkeit, Domains zu filtern.
  4. Klicken Sie im Bereich Ziel auf Connector > Simple Storage Service (S3).
    • URL: Der Bucket-URI. s3:/BUCKET_NAME. Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • Bucket-Name: Name des Buckets, an den das Objekt gesendet wird.
    • Region: Die Region, in der sich Ihr Bucket befindet.
    • Zugriffsschlüssel: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Geheimer Schlüssel: Geheimer Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Inhaltstyp: Wählen Sie „Nur Text“ aus.
  5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter Amazon S3 zum Empfangen von Daten aus Data Stream verwenden.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Azion Logs (Azion-Protokolle).
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie Azion als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI. s3:/BUCKET_NAME. Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI is a (URI ist ein): Wählen Sie den URI-Typ entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
  • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
  • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
  • Asset-Namespace: der Asset-Namespace.
  • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
  • S3-URI: Der Bucket-URI. s3:/BUCKET_NAME. Ersetzen Sie Folgendes:
    • BUCKET_NAME: der Name des Buckets.
  • URI is a (URI ist ein): Wählen Sie den URI-Typ entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
  • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
  • Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
  • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
asn read_only_udm.network.asn Direkt aus dem Feld asn zugeordnet.
bytes_sent read_only_udm.network.sent_bytes Direkt aus dem Feld bytes_sent zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
country read_only_udm.principal.location.country_or_region Direkt aus dem Feld country zugeordnet.
host read_only_udm.principal.hostname Direkt aus dem Feld host zugeordnet.
http_referer read_only_udm.network.http.referral_url Direkt aus dem Feld http_referer zugeordnet.
http_user_agent read_only_udm.network.http.user_agent Direkt aus dem Feld http_user_agent zugeordnet.
http_user_agent read_only_udm.network.http.parsed_user_agent Wird aus dem Feld http_user_agent mit dem Filter parseduseragent geparst.
read_only_udm.event_type Wird vom Parser anhand der Informationen zu principal und target bestimmt. Kann NETWORK_HTTP, SCAN_UNCATEGORIZED oder GENERIC_EVENT sein.
read_only_udm.metadata.product_name Fest codiert auf AZION.
read_only_udm.metadata.vendor_name Fest codiert auf AZION.
read_only_udm.metadata.product_version Fest codiert auf AZION.
remote_addr read_only_udm.principal.ip Direkt aus dem Feld remote_addr zugeordnet.
remote_port read_only_udm.principal.port Direkt aus dem Feld remote_port zugeordnet und in eine Ganzzahl konvertiert.
requestPath read_only_udm.target.url Wird direkt aus dem Feld requestPath zugeordnet, wenn request_uri nicht vorhanden ist.
request_method read_only_udm.network.http.method Direkt aus dem Feld request_method zugeordnet und in Großbuchstaben konvertiert.
request_time read_only_udm.additional.fields Wird als Schlüssel/Wert-Paar dem Array additional.fields hinzugefügt, mit dem Schlüssel "request_time" und dem Wert aus dem Feld request_time.
request_uri read_only_udm.target.url Wird direkt aus dem Feld request_uri zugeordnet, sofern vorhanden.
server_addr read_only_udm.target.ip Direkt aus dem Feld server_addr zugeordnet.
server_port read_only_udm.target.port Direkt aus dem Feld server_port zugeordnet und in eine Ganzzahl konvertiert.
ssl_cipher read_only_udm.network.tls.cipher Direkt aus dem Feld ssl_cipher zugeordnet.
ssl_protocol read_only_udm.network.tls.version_protocol Direkt aus dem Feld ssl_protocol zugeordnet.
ssl_server_name read_only_udm.network.tls.client.server_name Direkt aus dem Feld ssl_server_name zugeordnet.
state read_only_udm.principal.location.state Direkt aus dem Feld state zugeordnet.
status read_only_udm.network.http.response_code Direkt aus dem Feld status zugeordnet und in eine Ganzzahl konvertiert.
time read_only_udm.metadata.event_timestamp Aus dem Feld time geparst, wobei Datumsfilter und mehrere Datumsformate verwendet werden.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Aus dem Feld upstream_addr extrahiert und mit grok in IP-Adresse und Port aufgeteilt.
upstream_status read_only_udm.additional.fields Wird als Schlüssel/Wert-Paar dem Array additional.fields hinzugefügt, mit dem Schlüssel "upstream_status" und dem Wert aus dem Feld upstream_status.
waf_args read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_attack_action read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_attack_family read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_headers read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_learning read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_match read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_score read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_server read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_total_blocked read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_total_processed read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
waf_uri read_only_udm.security_result.detection_fields Wird als Schlüssel/Wert-Paar dem Array security_result.detection_fields hinzugefügt.
read_only_udm.security_result.action Wird vom Parser anhand der Felder waf_block oder blocked bestimmt. Legen Sie dafür ALLOW oder BLOCK fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten