Azion ファイアウォール ログを収集する

以下でサポートされています。

概要

このパーサーは、Azion ファイアウォール JSON ログからフィールドを抽出し、データ型の変換と拡充(ユーザー エージェントの解析など)を行い、抽出されたフィールドを UDM にマッピングします。プリンシパル マシンとターゲット マシンの有無に基づいて、NETWORK_HTTPSCAN_UNCATEGORIZEDGENERIC_EVENT のいずれかのイベントを生成します。また、WAF 関連のフィールドとアクションを処理し、UDM セキュリティ結果フィールドにマッピングします。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • AWS IAM と S3 への特権アクセス。
  • 有効な Azion アカウントへの特権アクセス。

Amazon S3 バケットを構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成した [ユーザー] を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [Download .csv file] をクリックします。(アクセスキーシークレット アクセスキーを保存して、今後の参照に備えます)。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションの [権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索します。
  18. ポリシーを選択します。
  19. [次へ] をクリックします。
  20. [権限を追加] をクリックします。

Amazon S3 への継続的なログ配信用に Azion を構成する

  1. Azion コンソールで、[DataStream] セクションに移動します。
  2. [+ ストリーム] をクリックします。
  3. 次のパラメータの値を指定します。
    • 名前: データ ストリームを識別する一意のわかりやすい名前を指定します。
    • ソース: データを収集するソースを選択します。
    • テンプレート: 特定のソースの変数のプリセット、または変数を選択するためのオープン テンプレート。ドメインをフィルタすることもできます。
  4. [宛先] セクションで、[コネクタ] > [Simple Storage Service(S3)] をクリックします。
    • URL: バケット URI。s3:/BUCKET_NAME 次のように置き換えます。
      • BUCKET_NAME: バケットの名前。
    • バケット名: オブジェクトの送信先となるバケットの名前。
    • リージョン: バケットが配置されているリージョン。
    • アクセスキー: s3 バケットにアクセスできるユーザー アクセスキー。
    • 秘密鍵: s3 バケットにアクセスできるユーザーの秘密鍵。
    • コンテンツ タイプ: plain/text を選択します。
  5. [保存] をクリックします。

詳細については、Amazon S3 を使用してデータ ストリームからデータを受信するをご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Azion Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] として [Azion] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータの値を指定します。
    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI。s3:/BUCKET_NAME 次のように置き換えます。
      • BUCKET_NAME: バケットの名前。
    • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI タイプを選択します。
    • Source deletion options: 必要に応じて削除オプションを選択します。
  • アクセスキー ID: s3 バケットにアクセスできるユーザー アクセスキー。
  • シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレット キー。
  • アセットの名前空間: アセットの名前空間
  • Ingestion labels: このフィードのイベントに適用されるラベル。
  • [次へ] をクリックします。
  • [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
  • S3 URI: バケット URI。s3:/BUCKET_NAME。 次のように置き換えます。
    • BUCKET_NAME: バケットの名前。
  • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI タイプを選択します。
  • Source deletion options: 必要に応じて削除オプションを選択します。
  • アクセスキー ID: s3 バケットにアクセスできるユーザー アクセスキー。
  • シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
asn read_only_udm.network.asn asn フィールドから直接マッピングされます。
bytes_sent read_only_udm.network.sent_bytes bytes_sent フィールドから直接マッピングされ、符号なし整数に変換されます。
country read_only_udm.principal.location.country_or_region country フィールドから直接マッピングされます。
host read_only_udm.principal.hostname host フィールドから直接マッピングされます。
http_referer read_only_udm.network.http.referral_url http_referer フィールドから直接マッピングされます。
http_user_agent read_only_udm.network.http.user_agent http_user_agent フィールドから直接マッピングされます。
http_user_agent read_only_udm.network.http.parsed_user_agent parseduseragent フィルタを使用して http_user_agent フィールドから解析されます。
read_only_udm.event_type principaltarget の情報の有無に基づいてパーサーによって決定されます。NETWORK_HTTPSCAN_UNCATEGORIZEDGENERIC_EVENT のいずれかです。
read_only_udm.metadata.product_name 「AZION」にハードコードされています。
read_only_udm.metadata.vendor_name 「AZION」にハードコードされています。
read_only_udm.metadata.product_version 「AZION」にハードコードされています。
remote_addr read_only_udm.principal.ip remote_addr フィールドから直接マッピングされます。
remote_port read_only_udm.principal.port remote_port フィールドから直接マッピングされ、整数に変換されます。
requestPath read_only_udm.target.url request_uri が存在しない場合、requestPath フィールドから直接マッピングされます。
request_method read_only_udm.network.http.method request_method フィールドから直接マッピングされ、大文字に変換されます。
request_time read_only_udm.additional.fields キー「request_time」と request_time フィールドの値を使用して、additional.fields 配列に Key-Value ペアとして追加されます。
request_uri read_only_udm.target.url 存在する場合は、request_uri フィールドから直接マッピングされます。
server_addr read_only_udm.target.ip server_addr フィールドから直接マッピングされます。
server_port read_only_udm.target.port server_port フィールドから直接マッピングされ、整数に変換されます。
ssl_cipher read_only_udm.network.tls.cipher ssl_cipher フィールドから直接マッピングされます。
ssl_protocol read_only_udm.network.tls.version_protocol ssl_protocol フィールドから直接マッピングされます。
ssl_server_name read_only_udm.network.tls.client.server_name ssl_server_name フィールドから直接マッピングされます。
state read_only_udm.principal.location.state state フィールドから直接マッピングされます。
status read_only_udm.network.http.response_code status フィールドから直接マッピングされ、整数に変換されます。
time read_only_udm.metadata.event_timestamp 日付フィルタと複数の日付形式を使用して time フィールドから解析されます。
upstream_addr read_only_udm.intermediary.ipread_only_udm.intermediary.port grok を使用して upstream_addr フィールドから抽出され、IP とポートに分割されます。
upstream_status read_only_udm.additional.fields キー「upstream_status」と upstream_status フィールドの値を使用して、additional.fields 配列に Key-Value ペアとして追加されます。
waf_args read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_attack_action read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_attack_family read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_headers read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_learning read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_match read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_score read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_server read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_total_blocked read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_total_processed read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
waf_uri read_only_udm.security_result.detection_fields security_result.detection_fields 配列に Key-Value ペアとして追加されます。
read_only_udm.security_result.action waf_block フィールドまたは blocked フィールドに基づいてパーサーによって決定されます。ALLOW または BLOCK に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。