Coletar registros do firewall da Azion

Compatível com:

Visão geral

Esse analisador extrai campos dos registros JSON do firewall da Azion, realiza conversões e enriquecimento de tipos de dados (por exemplo, análise do user-agent) e mapeia os campos extraídos para a UDM. Ele gera eventos NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT com base na presença de máquinas principais e de destino. Ele também processa campos e ações relacionados ao WAF, mapeando-os para campos de resultados de segurança da UDM.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao IAM e ao S3 da AWS.
  • Acesso privilegiado a uma conta ativa da Azion.

Configurar o bucket do Amazon S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket.
  2. Salve o Nome e a Região do bucket para referência futura.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Baixar arquivo .csv. Salve a chave de acesso e a chave de acesso secreta para consultas futuras.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise a política AmazonS3FullAccess.
  18. Selecione a política.
  19. Clique em Próxima.
  20. Clique em Adicionar permissões

Configurar a Azion para entrega contínua de registros ao Amazon S3

  1. No console da Azion, acesse a seção DataStream.
  2. Clique em + Transmissão.
  3. Especifique valores para os seguintes parâmetros:
    • Nome: forneça um nome exclusivo e descritivo para identificar o fluxo de dados.
    • Origem: selecione a origem de onde os dados serão coletados.
    • Modelo: um conjunto predefinido de variáveis para fontes específicas ou um modelo aberto para escolher variáveis. Você pode filtrar domínios.
  4. Na seção Destino, clique em Conector > Simple Storage Service (S3).
    • URL: o URI do bucket. s3:/BUCKET_NAME. Substitua:
      • BUCKET_NAME: o nome do bucket
    • Nome do bucket: nome do bucket para o qual o objeto será enviado.
    • Região: a região em que o bucket está localizado.
    • Chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Tipo de conteúdo: selecione simples/texto.
  5. Clique em Salvar.

Para mais informações, consulte Como usar o Amazon S3 para receber dados do Data Stream.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros da Azion).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione "Azion" como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. s3:/BUCKET_NAME. Substitua:
      • BUCKET_NAME: o nome do bucket
    • URI é um: selecione o tipo de URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
  • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
  • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
  • Namespace do recurso: o namespace do recurso.
  • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  • Clique em Próxima.
  • Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.
  • URI do S3: o URI do bucket. s3:/BUCKET_NAME. Substitua:
    • BUCKET_NAME: o nome do bucket
  • URI é um: selecione o tipo de URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
  • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
  • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
asn read_only_udm.network.asn Mapeado diretamente do campo asn.
bytes_sent read_only_udm.network.sent_bytes Mapeado diretamente do campo bytes_sent, convertido em um número inteiro sem sinal.
country read_only_udm.principal.location.country_or_region Mapeado diretamente do campo country.
host read_only_udm.principal.hostname Mapeado diretamente do campo host.
http_referer read_only_udm.network.http.referral_url Mapeado diretamente do campo http_referer.
http_user_agent read_only_udm.network.http.user_agent Mapeado diretamente do campo http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analisado do campo http_user_agent usando o filtro parseduseragent.
read_only_udm.event_type Determinado pelo analisador com base na presença de informações principal e target. Pode ser NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Codificado como "AZION".
read_only_udm.metadata.vendor_name Codificado como "AZION".
read_only_udm.metadata.product_version Codificado como "AZION".
remote_addr read_only_udm.principal.ip Mapeado diretamente do campo remote_addr.
remote_port read_only_udm.principal.port Mapeado diretamente do campo remote_port e convertido em número inteiro.
requestPath read_only_udm.target.url Mapeado diretamente do campo requestPath se request_uri não estiver presente.
request_method read_only_udm.network.http.method Mapeado diretamente do campo request_method e convertido para maiúsculas.
request_time read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "request_time" e o valor do campo request_time.
request_uri read_only_udm.target.url Mapeado diretamente do campo request_uri, se presente.
server_addr read_only_udm.target.ip Mapeado diretamente do campo server_addr.
server_port read_only_udm.target.port Mapeado diretamente do campo server_port e convertido em número inteiro.
ssl_cipher read_only_udm.network.tls.cipher Mapeado diretamente do campo ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mapeado diretamente do campo ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mapeado diretamente do campo ssl_server_name.
state read_only_udm.principal.location.state Mapeado diretamente do campo state.
status read_only_udm.network.http.response_code Mapeado diretamente do campo status e convertido em número inteiro.
time read_only_udm.metadata.event_timestamp Analisado do campo time usando filtro de data e vários formatos de data.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extraído do campo upstream_addr usando grok, dividindo em IP e porta.
upstream_status read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "upstream_status" e o valor do campo upstream_status.
waf_args read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
read_only_udm.security_result.action Determinado pelo analisador com base nos campos waf_block ou blocked. Defina como ALLOW ou BLOCK.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.