收集 Azion 防火牆記錄

支援的國家/地區:

總覽

這個剖析器會從 Azion 防火牆 JSON 記錄中擷取欄位、執行資料型別轉換和擴充 (例如剖析使用者代理程式),並將擷取的欄位對應至 UDM。系統會根據主體和目標電腦是否存在,產生 NETWORK_HTTPSCAN_UNCATEGORIZEDGENERIC_EVENT 事件。此外,這項服務也會處理 WAF 相關欄位和動作,並將這些欄位和動作對應至 UDM 安全性結果欄位。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • AWS IAM 和 S3 的特殊權限。
  • 有效 Azion 帳戶的特權存取權。

設定 Amazon S3 儲存貯體

  1. 按照這份使用者指南建立 Amazon S3 值區建立值區
  2. 儲存值區「名稱」和「區域」,以供日後參考。
  3. 請按照這份使用者指南建立使用者建立 IAM 使用者
  4. 選取建立的「使用者」
  5. 選取「安全憑證」分頁標籤。
  6. 在「Access Keys」部分中,按一下「Create Access Key」
  7. 選取「第三方服務」做為「用途」
  8. 點選「下一步」
  9. 選用:新增說明標記。
  10. 按一下「建立存取金鑰」
  11. 按一下「下載 .csv 檔案」。(請儲存「存取金鑰」和「存取密鑰」,以供日後參考)。
  12. 按一下 [完成]
  13. 選取「權限」分頁標籤。
  14. 在「權限政策」部分中,按一下「新增權限」
  15. 選取「新增權限」
  16. 選取「直接附加政策」
  17. 搜尋「AmazonS3FullAccess」AmazonS3FullAccess政策。
  18. 選取政策。
  19. 點選「下一步」
  20. 按一下「新增權限」

設定 Azion,將記錄檔持續傳送至 Amazon S3

  1. 在 Azion 控制台中,前往「DataStream」DataStream部分。
  2. 按一下「+ 串流」
  3. 指定下列參數的值:
    • 名稱:提供容易識別且不重複的資料串流名稱。
    • 來源:選取要收集資料的來源。
    • 範本:特定來源的預設變數,或是可選擇變數的開放式範本。您可以選擇篩選網域。
  4. 在「目的地」部分,依序點選「連接器」>「Simple Storage Service (S3)」
    • URL:值區 URI。 s3:/BUCKET_NAME。取代下列項目:
      • BUCKET_NAME:值區名稱。
    • 值區名稱:物件要傳送至的值區名稱。
    • 區域:bucket 所在的區域。
    • 存取金鑰:具有 S3 值區存取權的使用者存取金鑰。
    • 私密金鑰:具有 S3 bucket 存取權的使用者私密金鑰。
    • 內容類型:選取純文字。
  5. 按一下 [儲存]

詳情請參閱「如何使用 Amazon S3 接收來自資料串流的資料」。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Azion Logs」)。
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取「Azion」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:值區 URI。s3:/BUCKET_NAME。取代下列項目:
      • BUCKET_NAME:值區名稱。
    • 「URI is a」:根據記錄串流設定選取 URI 類型 (「Single file」|「Directory」|「Directory which includes subdirectories」)。
    • 來源刪除選項:根據偏好設定選取刪除選項。
  • 存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
  • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
  • 資產命名空間資產命名空間
  • 擷取標籤:要套用至這個動態饋給事件的標籤。
  • 點選「下一步」
  • 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 值區所在的區域。
  • S3 URI:值區 URI。s3:/BUCKET_NAME。 取代下列項目:
    • BUCKET_NAME:值區名稱。
  • 「URI is a」:根據記錄串流設定選取 URI 類型 (「Single file」|「Directory」|「Directory which includes subdirectories」)。
  • 來源刪除選項:根據偏好設定選取刪除選項。
  • 存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
  • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
asn read_only_udm.network.asn 直接對應至 asn 欄位。
bytes_sent read_only_udm.network.sent_bytes 直接從 bytes_sent 欄位對應,並轉換為不帶正負號的整數。
country read_only_udm.principal.location.country_or_region 直接對應至 country 欄位。
host read_only_udm.principal.hostname 直接對應至 host 欄位。
http_referer read_only_udm.network.http.referral_url 直接對應至 http_referer 欄位。
http_user_agent read_only_udm.network.http.user_agent 直接對應至 http_user_agent 欄位。
http_user_agent read_only_udm.network.http.parsed_user_agent 使用 parseduseragent 篩選器從 http_user_agent 欄位剖析。
read_only_udm.event_type 由剖析器根據 principaltarget 資訊是否存在而決定。可以是 NETWORK_HTTPSCAN_UNCATEGORIZEDGENERIC_EVENT
read_only_udm.metadata.product_name 已硬式編碼為「AZION」
read_only_udm.metadata.vendor_name 已硬式編碼為「AZION」
read_only_udm.metadata.product_version 已硬式編碼為「AZION」
remote_addr read_only_udm.principal.ip 直接對應至 remote_addr 欄位。
remote_port read_only_udm.principal.port 直接從 remote_port 欄位對應,並轉換為整數。
requestPath read_only_udm.target.url 如果沒有 request_uri 欄位,則直接從 requestPath 欄位對應。
request_method read_only_udm.network.http.method 直接從 request_method 欄位對應,並轉換為大寫。
request_time read_only_udm.additional.fields 以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「request_time」,值來自 request_time 欄位。
request_uri read_only_udm.target.url 如有,則直接從 request_uri 欄位對應。
server_addr read_only_udm.target.ip 直接對應至 server_addr 欄位。
server_port read_only_udm.target.port 直接從 server_port 欄位對應,並轉換為整數。
ssl_cipher read_only_udm.network.tls.cipher 直接對應至 ssl_cipher 欄位。
ssl_protocol read_only_udm.network.tls.version_protocol 直接對應至 ssl_protocol 欄位。
ssl_server_name read_only_udm.network.tls.client.server_name 直接對應至 ssl_server_name 欄位。
state read_only_udm.principal.location.state 直接對應至 state 欄位。
status read_only_udm.network.http.response_code 直接從 status 欄位對應,並轉換為整數。
time read_only_udm.metadata.event_timestamp 使用日期篩選器和多種日期格式,從 time 欄位剖析。
upstream_addr read_only_udm.intermediary.ipread_only_udm.intermediary.port 使用 grok 從 upstream_addr 欄位擷取,並分割為 IP 和通訊埠。
upstream_status read_only_udm.additional.fields 以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「upstream_status」,值來自 upstream_status 欄位。
waf_args read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_attack_action read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_attack_family read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_headers read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_learning read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_match read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_score read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_server read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_total_blocked read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_total_processed read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
waf_uri read_only_udm.security_result.detection_fields 以鍵/值組合的形式新增至 security_result.detection_fields 陣列。
read_only_udm.security_result.action 由剖析器根據 waf_blockblocked 欄位決定。設為「ALLOW」或「BLOCK」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。