CloudPassage Halo-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Logstash-Parsercode wandelt JSON-Logdaten von CloudPassage Halo in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Sie extrahiert relevante Felder aus den Rohprotokollen, normalisiert Zeitstempel, ordnet Daten UDM-Feldern zu und reichert Ereignisse mit zusätzlichem Kontext wie Schweregrad und Nutzerinformationen an.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz.
- Privilegierter Zugriff auf CloudPassage Halo.
API-Schlüssel in CloudPassage konfigurieren
- Melden Sie sich in CloudPassage Halo an.
- Rufen Sie die Einstellungen > Website-Administration auf.
- Klicken Sie auf den Tab API-Schlüssel.
- Klicken Sie auf Aktionen > Neuer API-Schlüssel.
- Klicken Sie auf dem Tab API-Schlüssel für Ihren Schlüssel auf Anzeigen, um Werte aufzurufen.
- Kopieren Sie sowohl die Schlüssel-ID als auch den geheimen Schlüssel.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. CloudPassage Logs (CloudPassage-Protokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Cloud Passage als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Geben Sie die Schlüssel-ID ein.
- Secret: Geben Sie den Secret Key (geheimen Schlüssel) ein.
- Ereignistypen: Art der Ereignisse, die berücksichtigt werden sollen. Wenn Sie keine Ereignistypen angeben, werden Standardereignisse aus der Liste verwendet.
- Klicken Sie auf Weiter.
- Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Nutzername: Geben Sie die Schlüssel-ID ein.
- Secret: Geben Sie den Secret Key (geheimen Schlüssel) ein.
- Ereignistypen: Art der Ereignisse, die berücksichtigt werden sollen. Wenn Sie keine Ereignistypen angeben, werden Standardereignisse aus der Liste verwendet.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| actor_country | principal.location.country_or_region | Direkt aus dem Feld actor_country im Rohlog zugeordnet. |
| actor_ip_address | principal.ip | Direkt aus dem Feld actor_ip_address im Rohlog zugeordnet. |
| actor_username | principal.user.userid | Direkt aus dem Feld actor_username im Rohlog zugeordnet. |
| created_at | metadata.event_timestamp | In das UDM-Zeitstempelformat konvertiert aus dem Feld created_at im Rohlog. |
| kritisch | security_result.severity | Wenn critical „true“ ist, wird die Schwere auf „CRITICAL“ gesetzt. Andernfalls wird sie für Ereignisse auf „INFORMATIONAL“ gesetzt und für Scans anhand der Anzahl der Ergebnisse berechnet. |
| id | metadata.product_log_id | Direkt aus dem Feld id im Rohlog für Ereignisse zugeordnet. |
| Nachricht | security_result.description | Die Beschreibung wurde aus dem Feld message mit einem Grok-Muster extrahiert. |
| Name | security_result.summary | Direkt aus dem Feld name im Rohlog für Ereignisse zugeordnet. |
| policy_name | security_result.detection_fields.policy_name | Direkt aus dem Feld policy_name im Rohlog zugeordnet. |
| rule_name | security_result.rule_name | Direkt aus dem Feld rule_name im Rohlog zugeordnet. |
| scan.created_at | metadata.event_timestamp | Aus dem Feld scan.created_at im Rohlog für Scans in das UDM-Zeitstempelformat konvertiert. |
| scan.critical_findings_count | security_result.description | Wird verwendet, um die Beschreibung für Scanereignisse zu berechnen. Wird auch verwendet, um den Schweregrad zu bestimmen. |
| scan.module | security_result.summary | Wird verwendet, um die Zusammenfassung für Scanereignisse zu generieren. In Großbuchstaben umgewandelt. |
| scan.non_critical_findings_count | security_result.description | Wird verwendet, um die Beschreibung für Scanereignisse zu berechnen. Wird auch verwendet, um den Schweregrad zu bestimmen. |
| scan.ok_findings_count | security_result.description | Wird verwendet, um die Beschreibung für Scanereignisse zu berechnen. |
| scan.server_hostname | target.hostname | Direkt aus dem Feld scan.server_hostname im Rohlog für Scans zugeordnet. |
| scan.status | security_result.summary | Wird verwendet, um die Zusammenfassung für Scanereignisse zu generieren. |
| scan.url | metadata.url_back_to_product | Direkt aus dem Feld scan.url im Rohlog für Scans zugeordnet. |
| server_group_name | target.group.attribute.labels.server_group_name | Direkt aus dem Feld server_group_name im Rohlog zugeordnet. |
| server_group_path | target.group.product_object_id | Direkt aus dem Feld server_group_path im Rohlog zugeordnet. |
| server_hostname | target.hostname | Direkt aus dem Feld server_hostname im Rohlog für Ereignisse zugeordnet. |
| server_ip_address | target.ip | Direkt aus dem Feld server_ip_address im Rohlog zugeordnet. |
| server_platform | target.platform | Direkt aus dem Feld server_platform im Rohlog zugeordnet. In Großbuchstaben umgewandelt. |
| server_primary_ip_address | target.ip | Direkt aus dem Feld server_primary_ip_address im Rohlog zugeordnet. |
| server_reported_fqdn | network.dns.authority.name | Direkt aus dem Feld server_reported_fqdn im Rohlog zugeordnet. |
| target_username | target.user.userid | Direkt aus dem Feld target_username im Rohlog zugeordnet. |
| metadata.event_type | Für Ereignisse auf „SCAN_UNCATEGORIZED“ und für Scans auf „SCAN_HOST“ festgelegt. | |
| metadata.log_type | Legen Sie diesen Wert auf „CLOUD_PASSAGE“ fest. | |
| metadata.product_name | Legen Sie diesen Wert auf „HALO“ fest. | |
| metadata.vendor_name | Legen Sie diesen Wert auf „CLOUDPASSAGE“ fest. | |
| principal.hostname | Kopiert von target.hostname. |
|
| security_result.action | Legen Sie diesen Wert auf „UNKNOWN_ACTION“ fest. | |
| security_result.category | Legen Sie diesen Wert auf „POLICY_VIOLATION“ fest. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten