Mengumpulkan log firewall Azion

Didukung di:

Ringkasan

Parser ini mengekstrak kolom dari log JSON firewall Azion, melakukan konversi dan pengayaan tipe data (misalnya, penguraian agen pengguna), dan memetakan kolom yang diekstrak ke UDM. Peristiwa ini menghasilkan peristiwa NETWORK_HTTP, SCAN_UNCATEGORIZED, atau GENERIC_EVENT berdasarkan keberadaan mesin utama dan target. Selain itu, modul ini menangani kolom dan tindakan terkait WAF, memetakannya ke kolom hasil keamanan UDM.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke AWS IAM dan S3.
  • Akses istimewa ke akun Azion yang aktif.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
  2. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file .csv. (Simpan Access Key dan Secret Access Key untuk referensi di masa mendatang).
  12. Klik Selesai.
  13. Pilih tab Permissions.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Cari kebijakan AmazonS3FullAccess.
  18. Pilih kebijakan.
  19. Klik Berikutnya.
  20. Klik Tambahkan izin.

Mengonfigurasi Azion untuk pengiriman log berkelanjutan ke Amazon S3

  1. Di konsol Azion, buka bagian DataStream.
  2. Klik + Streaming.
  3. Tentukan nilai untuk parameter berikut:
    • Nama: Berikan nama yang unik dan deskriptif untuk mengidentifikasi aliran data.
    • Sumber: Pilih sumber untuk mengumpulkan data.
    • Template: Preset variabel untuk sumber tertentu atau template terbuka untuk memilih variabel. Anda memiliki opsi untuk memfilter domain.
  4. Di bagian Destination, klik Connector > Simple Storage Service (S3).
    • URL: URI bucket. s3:/BUCKET_NAME. Ganti kode berikut:
      • BUCKET_NAME: nama bucket.
    • Nama Bucket: Nama bucket yang akan menerima objek.
    • Region: Region tempat bucket Anda berada.
    • Kunci Akses: Kunci akses pengguna dengan akses ke bucket s3.
    • Secret Key: Kunci rahasia pengguna dengan akses ke bucket s3.
    • Jenis Konten: Pilih plain/text.
  5. Klik Simpan.

Untuk mengetahui informasi selengkapnya, lihat Cara menggunakan Amazon S3 untuk menerima data dari Aliran Data

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama feed (misalnya, Azion Logs).
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih Azion sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Region: region tempat bucket Amazon S3 berada.
    • URI S3: URI bucket. s3:/BUCKET_NAME. Ganti kode berikut:
      • BUCKET_NAME: nama bucket.
    • URI adalah: pilih jenis URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang mencakup subdirektori).
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
  • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.
  • Namespace aset: namespace aset.
  • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
  • Klik Berikutnya.
  • Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Region: region tempat bucket Amazon S3 berada.
  • URI S3: URI bucket. s3:/BUCKET_NAME. Ganti kode berikut:
    • BUCKET_NAME: nama bucket.
  • URI adalah: pilih jenis URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang mencakup subdirektori).
  • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
  • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
asn read_only_udm.network.asn Dipetakan langsung dari kolom asn.
bytes_sent read_only_udm.network.sent_bytes Dipetakan langsung dari kolom bytes_sent, dikonversi menjadi bilangan bulat tidak bertanda.
country read_only_udm.principal.location.country_or_region Dipetakan langsung dari kolom country.
host read_only_udm.principal.hostname Dipetakan langsung dari kolom host.
http_referer read_only_udm.network.http.referral_url Dipetakan langsung dari kolom http_referer.
http_user_agent read_only_udm.network.http.user_agent Dipetakan langsung dari kolom http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Diuraikan dari kolom http_user_agent menggunakan filter parseduseragent.
read_only_udm.event_type Ditentukan oleh parser berdasarkan keberadaan informasi principal dan target. Dapat berupa NETWORK_HTTP, SCAN_UNCATEGORIZED, atau GENERIC_EVENT.
read_only_udm.metadata.product_name Dikodekan secara permanen ke "AZION".
read_only_udm.metadata.vendor_name Dikodekan secara permanen ke "AZION".
read_only_udm.metadata.product_version Dikodekan secara permanen ke "AZION".
remote_addr read_only_udm.principal.ip Dipetakan langsung dari kolom remote_addr.
remote_port read_only_udm.principal.port Dipetakan langsung dari kolom remote_port, dikonversi menjadi bilangan bulat.
requestPath read_only_udm.target.url Dipetakan langsung dari kolom requestPath jika request_uri tidak ada.
request_method read_only_udm.network.http.method Dipetakan langsung dari kolom request_method, dikonversi menjadi huruf besar.
request_time read_only_udm.additional.fields Ditambahkan sebagai pasangan nilai kunci ke array additional.fields, dengan kunci "request_time" dan nilai dari kolom request_time.
request_uri read_only_udm.target.url Dipetakan langsung dari kolom request_uri jika ada.
server_addr read_only_udm.target.ip Dipetakan langsung dari kolom server_addr.
server_port read_only_udm.target.port Dipetakan langsung dari kolom server_port, dikonversi menjadi bilangan bulat.
ssl_cipher read_only_udm.network.tls.cipher Dipetakan langsung dari kolom ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Dipetakan langsung dari kolom ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Dipetakan langsung dari kolom ssl_server_name.
state read_only_udm.principal.location.state Dipetakan langsung dari kolom state.
status read_only_udm.network.http.response_code Dipetakan langsung dari kolom status, dikonversi menjadi bilangan bulat.
time read_only_udm.metadata.event_timestamp Diuraikan dari kolom time menggunakan filter tanggal dan beberapa format tanggal.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Diekstrak dari kolom upstream_addr menggunakan grok, yang dibagi menjadi IP dan port.
upstream_status read_only_udm.additional.fields Ditambahkan sebagai pasangan nilai kunci ke array additional.fields, dengan kunci "upstream_status" dan nilai dari kolom upstream_status.
waf_args read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
read_only_udm.security_result.action Ditentukan oleh parser berdasarkan kolom waf_block atau blocked. Tetapkan ke ALLOW atau BLOCK.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.