Recolha registos da firewall da Azion

Compatível com:

Vista geral

Este analisador sintático extrai campos dos registos JSON da firewall da Azion, realiza conversões e enriquecimento de tipos de dados (por exemplo, análise sintática do agente do utilizador) e mapeia os campos extraídos para o UDM. Gera eventos NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT com base na presença de máquinas principais e de destino. Também processa campos e ações relacionados com a WAF, mapeando-os para campos de resultados de segurança da UDM.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao AWS IAM e ao S3.
  • Acesso privilegiado a uma conta ativa da Azion.

Configure o contentor do Amazon S3

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor.
  2. Guarde o Nome e a Região do contentor para referência futura.
  3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione a etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro .csv. (Guarde a chave de acesso e a chave de acesso secreta para referência futura).
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise a política AmazonS3FullAccess.
  18. Selecione a política.
  19. Clicar em Seguinte.
  20. Clique em Adicionar autorizações.

Configure o Azion para o fornecimento contínuo de registos para o Amazon S3

  1. Na consola do Azion, aceda à secção DataStream.
  2. Clique em + Stream.
  3. Especifique valores para os seguintes parâmetros:
    • Nome: indique um nome exclusivo e descritivo para identificar a stream de dados.
    • Origem: selecione a origem a partir da qual quer recolher os dados.
    • Modelo: um conjunto predefinido de variáveis para origens específicas ou um modelo aberto para escolher variáveis. Tem a opção de filtrar domínios.
  4. Na secção Destino, clique em Conetor > Simple Storage Service (S3).
    • URL: o URI do contentor. s3:/BUCKET_NAME. Substitua o seguinte:
      • BUCKET_NAME: o nome do segmento.
    • Nome do contentor: nome do contentor para o qual o objeto vai ser enviado.
    • Região: região onde o seu contentor está localizado.
    • Chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave secreta: chave secreta do utilizador com acesso ao contentor do S3.
    • Tipo de conteúdo: selecione texto simples.
  5. Clique em Guardar.

Para mais informações, consulte o artigo Como usar o Amazon S3 para receber dados da stream de dados

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Registos do Azion).
  5. Selecione Amazon S3 V2 como o Tipo de origem.
  6. Selecione Azion como o Tipo de registo.
  7. Clicar em Seguinte.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do S3: o URI do contentor. s3:/BUCKET_NAME. Substitua o seguinte:

      • BUCKET_NAME: o nome do segmento.

    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.

    • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias. Nota: se selecionar a opção Eliminar ficheiros transferidos ou Eliminar ficheiros transferidos e diretórios vazios, certifique-se de que concedeu as autorizações adequadas à conta de serviço.

    • ID da chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3.

    • Chave de acesso secreta: a chave secreta do utilizador com acesso ao contentor do S3.

    • Espaço de nomes do recurso: o espaço de nomes do recurso.

    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.

  9. Clicar em Seguinte.

  10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
asn read_only_udm.network.asn Mapeado diretamente a partir do campo asn.
bytes_sent read_only_udm.network.sent_bytes Mapeado diretamente a partir do campo bytes_sent, convertido em número inteiro não assinado.
country read_only_udm.principal.location.country_or_region Mapeado diretamente a partir do campo country.
host read_only_udm.principal.hostname Mapeado diretamente a partir do campo host.
http_referer read_only_udm.network.http.referral_url Mapeado diretamente a partir do campo http_referer.
http_user_agent read_only_udm.network.http.user_agent Mapeado diretamente a partir do campo http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analisado a partir do campo http_user_agent através do filtro parseduseragent.
read_only_udm.event_type Determinado pelo analisador com base na presença de informações principal e target. Pode ser NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Codificado como "AZION".
read_only_udm.metadata.vendor_name Codificado como "AZION".
read_only_udm.metadata.product_version Codificado como "AZION".
remote_addr read_only_udm.principal.ip Mapeado diretamente a partir do campo remote_addr.
remote_port read_only_udm.principal.port Mapeado diretamente a partir do campo remote_port, convertido em número inteiro.
requestPath read_only_udm.target.url Mapeado diretamente a partir do campo requestPath se request_uri não estiver presente.
request_method read_only_udm.network.http.method Mapeado diretamente a partir do campo request_method, convertido em maiúsculas.
request_time read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "request_time" e o valor do campo request_time.
request_uri read_only_udm.target.url Mapeado diretamente a partir do campo request_uri, se estiver presente.
server_addr read_only_udm.target.ip Mapeado diretamente a partir do campo server_addr.
server_port read_only_udm.target.port Mapeado diretamente a partir do campo server_port, convertido em número inteiro.
ssl_cipher read_only_udm.network.tls.cipher Mapeado diretamente a partir do campo ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mapeado diretamente a partir do campo ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mapeado diretamente a partir do campo ssl_server_name.
state read_only_udm.principal.location.state Mapeado diretamente a partir do campo state.
status read_only_udm.network.http.response_code Mapeado diretamente a partir do campo status, convertido em número inteiro.
time read_only_udm.metadata.event_timestamp Analisado a partir do campo time através do filtro de data e de vários formatos de data.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extraído do campo upstream_addr através do grok, dividindo-o em IP e porta.
upstream_status read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "upstream_status" e o valor do campo upstream_status.
waf_args read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
read_only_udm.security_result.action Determinado pelo analisador com base nos campos waf_block ou blocked. Defina como PERMITIR ou BLOQUEAR.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.