Collecter les journaux de pare-feu Azion

Compatible avec :

Présentation

Ce parseur extrait les champs des journaux JSON du pare-feu Azion, effectue des conversions et des enrichissements de types de données (par exemple, l'analyse de l'agent utilisateur) et mappe les champs extraits à l'UDM. Il génère des événements NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT en fonction de la présence de machines principales et cibles. Il gère également les champs et les actions liés au WAF, en les mappant sur les champs de résultats de sécurité UDM.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à AWS IAM et S3.
  • Accès privilégié à un compte Azion actif.

Configurer le bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : Ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier .csv. (Enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure.)
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer Azion pour l'envoi continu de journaux vers Amazon S3

  1. Dans la console Azion, accédez à la section DataStream.
  2. Cliquez sur + Flux.
  3. Spécifiez les valeurs des paramètres suivants :
    • Nom : indiquez un nom unique et descriptif pour identifier le flux de données.
    • Source : sélectionnez la source à partir de laquelle collecter les données.
    • Modèle : ensemble prédéfini de variables pour des sources spécifiques ou modèle ouvert permettant de choisir des variables. Vous pouvez filtrer les domaines.
  4. Dans la section Destination, cliquez sur Connecteur > Simple Storage Service (S3).
    • URL : URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • Nom du bucket : nom du bucket auquel l'objet sera envoyé.
    • Région : région dans laquelle se trouve votre bucket.
    • Clé d'accès : clé d'accès utilisateur permettant d'accéder au bucket S3.
    • Clé secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Type de contenu : sélectionnez "Texte brut".
  5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Utiliser Amazon S3 pour recevoir des données du flux de données.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Azion).
  5. Sélectionnez Amazon S3 comme Type de source.
  6. Sélectionnez Azion comme type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Région : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3 : URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • L'URI est : sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
  • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
  • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
  • Espace de noms de l'élément : espace de noms de l'élément.
  • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
  • Cliquez sur Suivant.
  • Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Région : région dans laquelle se trouve le bucket Amazon S3.
  • URI S3 : URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
    • BUCKET_NAME : nom du bucket.
  • L'URI est : sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
  • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
  • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
asn read_only_udm.network.asn Mappé directement à partir du champ asn.
bytes_sent read_only_udm.network.sent_bytes Mappé directement à partir du champ bytes_sent, converti en entier non signé.
country read_only_udm.principal.location.country_or_region Mappé directement à partir du champ country.
host read_only_udm.principal.hostname Mappé directement à partir du champ host.
http_referer read_only_udm.network.http.referral_url Mappé directement à partir du champ http_referer.
http_user_agent read_only_udm.network.http.user_agent Mappé directement à partir du champ http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analysé à partir du champ http_user_agent à l'aide du filtre parseduseragent.
read_only_udm.event_type Déterminé par l'analyseur en fonction de la présence des informations principal et target. Peut être NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Codé en dur sur AZION.
read_only_udm.metadata.vendor_name Codé en dur sur AZION.
read_only_udm.metadata.product_version Codé en dur sur AZION.
remote_addr read_only_udm.principal.ip Mappé directement à partir du champ remote_addr.
remote_port read_only_udm.principal.port Mappé directement à partir du champ remote_port, converti en entier.
requestPath read_only_udm.target.url Directement mappé à partir du champ requestPath si request_uri n'est pas présent.
request_method read_only_udm.network.http.method Directement mappé à partir du champ request_method, converti en majuscules.
request_time read_only_udm.additional.fields Ajoutée en tant que paire clé-valeur au tableau additional.fields, avec la clé "request_time" et la valeur du champ request_time.
request_uri read_only_udm.target.url Directement mappé à partir du champ request_uri, s'il est présent.
server_addr read_only_udm.target.ip Mappé directement à partir du champ server_addr.
server_port read_only_udm.target.port Mappé directement à partir du champ server_port, converti en entier.
ssl_cipher read_only_udm.network.tls.cipher Mappé directement à partir du champ ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mappé directement à partir du champ ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mappé directement à partir du champ ssl_server_name.
state read_only_udm.principal.location.state Mappé directement à partir du champ state.
status read_only_udm.network.http.response_code Mappé directement à partir du champ status, converti en entier.
time read_only_udm.metadata.event_timestamp Analysée à partir du champ time à l'aide du filtre de date et de plusieurs formats de date.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extrait du champ upstream_addr à l'aide de grok, en le divisant en adresse IP et port.
upstream_status read_only_udm.additional.fields Ajouté en tant que paire clé/valeur au tableau additional.fields, avec la clé "upstream_status" et la valeur du champ upstream_status.
waf_args read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
read_only_udm.security_result.action Déterminé par l'analyseur en fonction des champs waf_block ou blocked. Définissez-le sur ALLOW (AUTORISER) ou BLOCK (BLOQUER).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.