Recopila registros de CloudPassage Halo
Compatible con:
Google SecOps
SIEM
Este código del analizador de Logstash transforma los datos de registro JSON de CloudPassage Halo en un modelo de datos unificado (UDM). Extrae los campos pertinentes de los registros sin procesar, normaliza las marcas de tiempo, asigna los datos a los campos del UDM y enriquece los eventos con contexto adicional, como la gravedad y la información del usuario.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps.
- Acceso privilegiado a CloudPassage Halo.
Cómo configurar una clave de API en CloudPassage
- Accede a CloudPassage Halo.
- Ve a Configuración > Administración del sitio.
- Haz clic en la pestaña Claves de API.
- Haz clic en Actions > New Api Key.
- Haz clic en Mostrar para ver los valores de tu clave en la pestaña Claves de API.
- Copia los valores del ID de clave y la clave secreta.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds en Configuración del SIEM > Feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de CloudPassage).
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Cloud Passage como el Tipo de registro.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- Nombre de usuario: Ingresa el ID de clave.
- Secret: Ingresa la clave secreta.
- Event Types: Tipo de eventos que se incluirán (si no especificas tipos de eventos, se usarán los eventos predeterminados de la lista).
- Haz clic en Siguiente.
- Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- Nombre de usuario: Ingresa el ID de clave.
- Secret: Ingresa la clave secreta.
- Event Types: Tipo de eventos que se incluirán (si no especificas tipos de eventos, se usarán los eventos predeterminados de la lista).
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| actor_country | principal.location.country_or_region | Se asigna directamente desde el campo actor_country en el registro sin procesar. |
| actor_ip_address | principal.ip | Se asigna directamente desde el campo actor_ip_address en el registro sin procesar. |
| actor_username | principal.user.userid | Se asigna directamente desde el campo actor_username en el registro sin procesar. |
| created_at | metadata.event_timestamp | Se convirtió al formato de marca de tiempo del UDM desde el campo created_at en el registro sin procesar. |
| crítico | security_result.severity | Si critical es verdadero, la gravedad se establece en "CRÍTICA". De lo contrario, se establece en "INFORMATIONAL" para los eventos y se calcula en función del recuento de hallazgos para los análisis. |
| id | metadata.product_log_id | Se asigna directamente desde el campo id en el registro sin procesar de los eventos. |
| mensaje | security_result.description | Se extrajo la descripción del campo message con el patrón de Grok. |
| nombre | security_result.summary | Se asigna directamente desde el campo name en el registro sin procesar de los eventos. |
| policy_name | security_result.detection_fields.policy_name | Se asigna directamente desde el campo policy_name en el registro sin procesar. |
| rule_name | security_result.rule_name | Se asigna directamente desde el campo rule_name en el registro sin procesar. |
| scan.created_at | metadata.event_timestamp | Se convirtió al formato de marca de tiempo de UDM desde el campo scan.created_at en el registro sin procesar de los análisis. |
| scan.critical_findings_count | security_result.description | Se usa para calcular la descripción de los eventos de análisis. También se usa para determinar el nivel de gravedad. |
| scan.module | security_result.summary | Se usa para generar el resumen de los eventos de análisis. Se convirtió a mayúsculas. |
| scan.non_critical_findings_count | security_result.description | Se usa para calcular la descripción de los eventos de análisis. También se usa para determinar el nivel de gravedad. |
| scan.ok_findings_count | security_result.description | Se usa para calcular la descripción de los eventos de análisis. |
| scan.server_hostname | target.hostname | Se asigna directamente desde el campo scan.server_hostname en el registro sin procesar de los análisis. |
| scan.status | security_result.summary | Se usa para generar el resumen de los eventos de análisis. |
| scan.url | metadata.url_back_to_product | Se asigna directamente desde el campo scan.url en el registro sin procesar de los análisis. |
| server_group_name | target.group.attribute.labels.server_group_name | Se asigna directamente desde el campo server_group_name en el registro sin procesar. |
| server_group_path | target.group.product_object_id | Se asigna directamente desde el campo server_group_path en el registro sin procesar. |
| server_hostname | target.hostname | Se asigna directamente desde el campo server_hostname en el registro sin procesar de los eventos. |
| server_ip_address | target.ip | Se asigna directamente desde el campo server_ip_address en el registro sin procesar. |
| server_platform | target.platform | Se asigna directamente desde el campo server_platform en el registro sin procesar. Se convirtió a mayúsculas. |
| server_primary_ip_address | target.ip | Se asigna directamente desde el campo server_primary_ip_address en el registro sin procesar. |
| server_reported_fqdn | network.dns.authority.name | Se asigna directamente desde el campo server_reported_fqdn en el registro sin procesar. |
| target_username | target.user.userid | Se asigna directamente desde el campo target_username en el registro sin procesar. |
| metadata.event_type | Se establece en "SCAN_UNCATEGORIZED" para los eventos y en "SCAN_HOST" para los análisis. | |
| metadata.log_type | Se debe establecer en "CLOUD_PASSAGE". | |
| metadata.product_name | Se establece en "HALO". | |
| metadata.vendor_name | Se debe establecer en "CLOUDPASSAGE". | |
| principal.hostname | Se copió desde target.hostname. |
|
| security_result.action | Se establece en "UNKNOWN_ACTION". | |
| security_result.category | Se establece en "POLICY_VIOLATION". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.