Raccogliere i log di Cato Networks

Questo documento spiega come importare i log di Cato Networks in Google Security Operations utilizzando AWS S3. Il parser inizializza innanzitutto un insieme di campi con stringhe vuote e poi analizza i log di Cato Networks in formato JSON. Dopodiché, mappa i campi estratti con i campi corrispondenti nel modello Unified Data Model (UDM) di Google SecOps, gestendo diversi tipi di eventi e arricchendo i dati con un contesto aggiuntivo.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Accesso con privilegi ad AWS S3, AWS IAM
• Accesso con privilegi a Cato Networks

Configura AWS IAM e il bucket S3

1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
2. Salva il nome e la regione del bucket per riferimento futuro.
3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
4. Seleziona l'utente creato.
5. Seleziona la scheda Credenziali di sicurezza.
6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
7. Seleziona Servizio di terze parti come Caso d'uso.
8. Fai clic su Avanti.
9. (Facoltativo) Aggiungi un tag di descrizione.
10. Fai clic su Crea chiave di accesso.
11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
12. Fai clic su Fine.
13. Seleziona la scheda Autorizzazioni.
14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
15. Seleziona Aggiungi autorizzazioni.
16. Seleziona Allega direttamente i criteri.
17. Cerca la policy AmazonS3FullAccess e selezionala.
18. Fai clic su Avanti.
19. Fai clic su Aggiungi autorizzazioni.

Configura un nuovo criterio IAM per il bucket S3 per attivare i caricamenti di dati

1. In Policy, fai clic sulla scheda JSON.

2. Modifica il seguente JSON, sostituisci <bucket name> con il tuo bucket S3 e poi incollalo nella scheda.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>"
               ]
           },
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucket name>/*"
               ]
           }
       ]
   }
   

3. Fai clic su Crea criterio.

Configura un nuovo ruolo IAM con l'ARN di Cato

1. Nella schermata Seleziona entità attendibile, seleziona Policy di attendibilità personalizzata e aggiungi l'ARN di Cato al ruolo: arn:aws:iam::428465470022:role/cato-events-integration

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::428465470022:role/cato-events-integration"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

2. Fai clic su Avanti.

3. Nella schermata Aggiungi autorizzazioni, collega il criterio che hai creato in precedenza al ruolo.

4. Fai clic su Avanti.

5. Inserisci il Nome ruolo e fai clic su Crea ruolo.

Configura l'integrazione di eventi e S3 di Cato Networks

1. Accedi alla UI web di Cato Networks.
2. Vai a Risorse > Integrazioni eventi.
3. Fai clic su Abilita integrazione con gli eventi Cato.
4. Fai clic su New (Nuovo).
5. Fornisci i seguenti dettagli di configurazione:
   • Inserisci il nome dell'integrazione.
   • Nome bucket: nome identico del bucket S3.
   • Cartella: nome identico per il percorso della cartella all'interno del bucket S3 (se necessario).
   • Regione: la stessa regione del bucket S3.
   • ARN ruolo: copia e incolla l'ARN del ruolo per il bucket S3.
   • (Facoltativo) Definisci le impostazioni del filtro per gli eventi caricati nel bucket S3. Quando definisci più filtri, esiste una relazione AND e vengono caricati gli eventi che corrispondono a tutti i filtri.
6. Fai clic su Applica.

Configurare i feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Cato Logs).
5. Seleziona Amazon S3 V2 come Tipo di origine.
6. Seleziona Cato Networks come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URI S3: l'URI del bucket (il formato deve essere s3://<your-log-bucket-name>). Sostituisci quanto segue:

     • your-log-bucket-name: il nome del bucket.

   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.