Collecter les journaux de pare-feu Azion

Compatible avec :

Présentation

Ce parseur extrait les champs des journaux JSON du pare-feu Azion, effectue des conversions et des enrichissements de types de données (par exemple, l'analyse de l'agent utilisateur) et mappe les champs extraits à l'UDM. Il génère des événements NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT en fonction de la présence de machines principales et cibles. Il gère également les champs et les actions liés au WAF, en les mappant sur les champs de résultats de sécurité UDM.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à AWS IAM et S3.
  • Accès privilégié à un compte Azion actif.

Configurer le bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : Ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier .csv. (Enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure.)
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer Azion pour l'envoi continu de journaux vers Amazon S3

  1. Dans la console Azion, accédez à la section DataStream.
  2. Cliquez sur + Flux.
  3. Spécifiez les valeurs des paramètres suivants :
    • Nom : indiquez un nom unique et descriptif pour identifier le flux de données.
    • Source : sélectionnez la source à partir de laquelle collecter les données.
    • Modèle : ensemble prédéfini de variables pour des sources spécifiques ou modèle ouvert permettant de choisir des variables. Vous pouvez filtrer les domaines.
  4. Dans la section Destination, cliquez sur Connecteur > Simple Storage Service (S3).
    • URL : URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • Nom du bucket : nom du bucket vers lequel l'objet sera envoyé.
    • Région : région où se trouve votre bucket.
    • Clé d'accès : clé d'accès utilisateur permettant d'accéder au bucket S3.
    • Clé secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Type de contenu : sélectionnez "Texte brut".
  5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Utiliser Amazon S3 pour recevoir des données du flux de données.

Configurer des flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Azion).
  5. Sélectionnez Amazon S3 V2 comme type de source.
  6. Sélectionnez Azion comme type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI S3 : URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :

      • BUCKET_NAME : nom du bucket.

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours. Remarque : Si vous sélectionnez l'option Supprimer les fichiers transférés ou Supprimer les fichiers transférés et les répertoires vides, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.

    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.

    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
asn read_only_udm.network.asn Mappé directement à partir du champ asn.
bytes_sent read_only_udm.network.sent_bytes Mappé directement à partir du champ bytes_sent, converti en entier non signé.
country read_only_udm.principal.location.country_or_region Mappé directement à partir du champ country.
host read_only_udm.principal.hostname Mappé directement à partir du champ host.
http_referer read_only_udm.network.http.referral_url Mappé directement à partir du champ http_referer.
http_user_agent read_only_udm.network.http.user_agent Mappé directement à partir du champ http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analysé à partir du champ http_user_agent à l'aide du filtre parseduseragent.
read_only_udm.event_type Déterminé par l'analyseur en fonction de la présence des informations principal et target. Peut être NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Codé en dur sur AZION.
read_only_udm.metadata.vendor_name Codé en dur sur AZION.
read_only_udm.metadata.product_version Codé en dur sur AZION.
remote_addr read_only_udm.principal.ip Mappé directement à partir du champ remote_addr.
remote_port read_only_udm.principal.port Mappé directement à partir du champ remote_port, converti en entier.
requestPath read_only_udm.target.url Directement mappé à partir du champ requestPath si request_uri n'est pas présent.
request_method read_only_udm.network.http.method Directement mappé à partir du champ request_method, converti en majuscules.
request_time read_only_udm.additional.fields Ajoutée en tant que paire clé-valeur au tableau additional.fields, avec la clé "request_time" et la valeur du champ request_time.
request_uri read_only_udm.target.url Directement mappé à partir du champ request_uri, s'il est présent.
server_addr read_only_udm.target.ip Mappé directement à partir du champ server_addr.
server_port read_only_udm.target.port Mappé directement à partir du champ server_port, converti en entier.
ssl_cipher read_only_udm.network.tls.cipher Mappé directement à partir du champ ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mappé directement à partir du champ ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mappé directement à partir du champ ssl_server_name.
state read_only_udm.principal.location.state Mappé directement à partir du champ state.
status read_only_udm.network.http.response_code Mappé directement à partir du champ status, converti en entier.
time read_only_udm.metadata.event_timestamp Analysé à partir du champ time à l'aide du filtre de date et de plusieurs formats de date.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extrait du champ upstream_addr à l'aide de grok, en le divisant en adresse IP et port.
upstream_status read_only_udm.additional.fields Ajouté en tant que paire clé/valeur au tableau additional.fields, avec la clé "upstream_status" et la valeur du champ upstream_status.
waf_args read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
read_only_udm.security_result.action Déterminé par l'analyseur en fonction des champs waf_block ou blocked. Définissez-le sur ALLOW (AUTORISER) ou BLOCK (BLOQUER).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.