Raccogliere i log del firewall Azion

Supportato in:

Panoramica

Questo parser estrae i campi dai log JSON del firewall Azion, esegue conversioni e arricchimenti dei tipi di dati (ad esempio, l'analisi dello user agent) e mappa i campi estratti a UDM. Genera eventi NETWORK_HTTP, SCAN_UNCATEGORIZED o GENERIC_EVENT in base alla presenza di macchine principali e di destinazione. Gestisce anche i campi e le azioni correlati al WAF, mappandoli ai campi dei risultati di sicurezza UDM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi ad AWS IAM e S3.
  • Accesso privilegiato a un account Azion attivo.

Configura il bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket.
  2. Salva il Nome e la Regione del bucket per riferimento futuro.
  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi il tag della descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file .csv. Salva Chiave di accesso e Chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente le norme.
  17. Cerca il criterio AmazonS3FullAccess.
  18. Seleziona la policy.
  19. Fai clic su Avanti.
  20. Fai clic su Aggiungi autorizzazioni.

Configura Azion per la distribuzione continua dei log ad Amazon S3

  1. Nella console Azion, vai alla sezione DataStream.
  2. Fai clic su + Stream.
  3. Specifica i valori per i seguenti parametri:
    • Nome: fornisci un nome univoco e descrittivo per identificare lo stream di dati.
    • Origine: seleziona l'origine da cui raccogliere i dati.
    • Modello: un insieme predefinito di variabili per origini specifiche o un modello aperto per scegliere le variabili. Puoi filtrare i domini.
  4. Nella sezione Destinazione, fai clic su Connettore > Simple Storage Service (S3).
    • URL: l'URI del bucket. s3:/BUCKET_NAME. Sostituisci quanto segue:
      • BUCKET_NAME: il nome del bucket.
    • Nome bucket: nome del bucket a cui verrà inviato l'oggetto.
    • Regione: la regione in cui si trova il bucket.
    • Chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Secret Key (Chiave segreta): chiave segreta dell'utente con accesso al bucket S3.
    • Tipo di contenuti: seleziona plain/text.
  5. Fai clic su Salva.

Per maggiori informazioni, consulta Come utilizzare Amazon S3 per ricevere dati da Data Stream.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Azion Logs).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Azion come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Region (Regione): la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket. s3:/BUCKET_NAME. Sostituisci quanto segue:
      • BUCKET_NAME: il nome del bucket.
    • L'URI è un: seleziona il tipo di URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
  • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
  • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.
  • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
  • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  • Fai clic su Avanti.
  • Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Region (Regione): la regione in cui si trova il bucket Amazon S3.
  • URI S3: l'URI del bucket. s3:/BUCKET_NAME. Sostituisci quanto segue:
    • BUCKET_NAME: il nome del bucket.
  • L'URI è un: seleziona il tipo di URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
  • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
  • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
asn read_only_udm.network.asn Mappato direttamente dal campo asn.
bytes_sent read_only_udm.network.sent_bytes Mappato direttamente dal campo bytes_sent, convertito in numero intero senza segno.
country read_only_udm.principal.location.country_or_region Mappato direttamente dal campo country.
host read_only_udm.principal.hostname Mappato direttamente dal campo host.
http_referer read_only_udm.network.http.referral_url Mappato direttamente dal campo http_referer.
http_user_agent read_only_udm.network.http.user_agent Mappato direttamente dal campo http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analizzato dal campo http_user_agent utilizzando il filtro parseduseragent.
read_only_udm.event_type Determinato dal parser in base alla presenza delle informazioni principal e target. Può essere NETWORK_HTTP, SCAN_UNCATEGORIZED o GENERIC_EVENT.
read_only_udm.metadata.product_name Codificato in modo permanente su "AZION".
read_only_udm.metadata.vendor_name Codificato in modo permanente su "AZION".
read_only_udm.metadata.product_version Codificato in modo permanente su "AZION".
remote_addr read_only_udm.principal.ip Mappato direttamente dal campo remote_addr.
remote_port read_only_udm.principal.port Mappato direttamente dal campo remote_port, convertito in numero intero.
requestPath read_only_udm.target.url Mappato direttamente dal campo requestPath se request_uri non è presente.
request_method read_only_udm.network.http.method Mappato direttamente dal campo request_method, convertito in maiuscolo.
request_time read_only_udm.additional.fields Aggiunto come coppia chiave-valore all'array additional.fields, con la chiave "request_time" e il valore del campo request_time.
request_uri read_only_udm.target.url Mappato direttamente dal campo request_uri, se presente.
server_addr read_only_udm.target.ip Mappato direttamente dal campo server_addr.
server_port read_only_udm.target.port Mappato direttamente dal campo server_port, convertito in numero intero.
ssl_cipher read_only_udm.network.tls.cipher Mappato direttamente dal campo ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mappato direttamente dal campo ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mappato direttamente dal campo ssl_server_name.
state read_only_udm.principal.location.state Mappato direttamente dal campo state.
status read_only_udm.network.http.response_code Mappato direttamente dal campo status, convertito in numero intero.
time read_only_udm.metadata.event_timestamp Analizzato dal campo time utilizzando il filtro per data e più formati di data.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Estratto dal campo upstream_addr utilizzando grok, suddiviso in IP e porta.
upstream_status read_only_udm.additional.fields Aggiunto come coppia chiave-valore all'array additional.fields, con la chiave "upstream_status" e il valore del campo upstream_status.
waf_args read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Aggiunto come coppia chiave-valore all'array security_result.detection_fields.
read_only_udm.security_result.action Determinato dal parser in base ai campi waf_block o blocked. Imposta su CONSENTI o BLOCCA.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.