Mengumpulkan log CloudPassage Halo
Didukung di:
Google secops
SIEM
Kode parser Logstash ini mengubah data log JSON CloudPassage Halo menjadi model data terpadu (UDM). Proses ini mengekstrak kolom yang relevan dari log mentah, menormalisasi stempel waktu, memetakan data ke kolom UDM, dan memperkaya peristiwa dengan konteks tambahan seperti tingkat keparahan dan informasi pengguna.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke CloudPassage Halo.
Mengonfigurasi kunci API di CloudPassage
- Login ke CloudPassage Halo.
- Buka Setelan > Administrasi Situs.
- Klik tab API Keys.
- Klik Actions > New Api Key.
- Klik Show untuk kunci Anda di tab API Keys untuk menampilkan nilai.
- Salin nilai ID Kunci dan Kunci Rahasia.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, CloudPassage Logs).
- Pilih Third party API sebagai Source type.
- Pilih Cloud Passage sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Nama pengguna: masukkan ID Kunci.
- Secret: masukkan Secret Key.
- Jenis Acara: jenis acara yang akan disertakan (jika Anda tidak menentukan jenis acara, acara default dari daftar akan digunakan).
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
Menyiapkan feed dari Hub Konten
Tentukan nilai untuk kolom berikut:
- Nama pengguna: masukkan ID Kunci.
- Secret: masukkan Secret Key.
- Jenis Acara: jenis acara yang akan disertakan (jika Anda tidak menentukan jenis acara, acara default dari daftar akan digunakan).
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| actor_country | principal.location.country_or_region | Dipetakan langsung dari kolom actor_country dalam log mentah. |
| actor_ip_address | principal.ip | Dipetakan langsung dari kolom actor_ip_address dalam log mentah. |
| actor_username | principal.user.userid | Dipetakan langsung dari kolom actor_username dalam log mentah. |
| created_at | metadata.event_timestamp | Dikonversi ke format stempel waktu UDM dari kolom created_at dalam log mentah. |
| kritis | security_result.severity | Jika critical benar (true), tingkat keparahan ditetapkan ke "KRITIS". Jika tidak, nilai ini ditetapkan ke "INFORMASI" untuk peristiwa dan dihitung berdasarkan jumlah temuan untuk pemindaian. |
| id | metadata.product_log_id | Dipetakan langsung dari kolom id di log mentah untuk peristiwa. |
| pesan | security_result.description | Mengekstrak deskripsi dari kolom message menggunakan pola grok. |
| nama | security_result.summary | Dipetakan langsung dari kolom name di log mentah untuk peristiwa. |
| policy_name | security_result.detection_fields.policy_name | Dipetakan langsung dari kolom policy_name dalam log mentah. |
| rule_name | security_result.rule_name | Dipetakan langsung dari kolom rule_name dalam log mentah. |
| scan.created_at | metadata.event_timestamp | Dikonversi ke format stempel waktu UDM dari kolom scan.created_at dalam log mentah untuk pemindaian. |
| scan.critical_findings_count | security_result.description | Digunakan untuk menghitung deskripsi untuk peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan. |
| scan.module | security_result.summary | Digunakan untuk membuat ringkasan peristiwa pemindaian. Dikonversi menjadi huruf besar. |
| scan.non_critical_findings_count | security_result.description | Digunakan untuk menghitung deskripsi untuk peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan. |
| scan.ok_findings_count | security_result.description | Digunakan untuk menghitung deskripsi untuk peristiwa pemindaian. |
| scan.server_hostname | target.hostname | Dipetakan langsung dari kolom scan.server_hostname dalam log mentah untuk pemindaian. |
| scan.status | security_result.summary | Digunakan untuk membuat ringkasan peristiwa pemindaian. |
| scan.url | metadata.url_back_to_product | Dipetakan langsung dari kolom scan.url dalam log mentah untuk pemindaian. |
| server_group_name | target.group.attribute.labels.server_group_name | Dipetakan langsung dari kolom server_group_name dalam log mentah. |
| server_group_path | target.group.product_object_id | Dipetakan langsung dari kolom server_group_path dalam log mentah. |
| server_hostname | target.hostname | Dipetakan langsung dari kolom server_hostname di log mentah untuk peristiwa. |
| server_ip_address | target.ip | Dipetakan langsung dari kolom server_ip_address dalam log mentah. |
| server_platform | target.platform | Dipetakan langsung dari kolom server_platform dalam log mentah. Dikonversi menjadi huruf besar. |
| server_primary_ip_address | target.ip | Dipetakan langsung dari kolom server_primary_ip_address dalam log mentah. |
| server_reported_fqdn | network.dns.authority.name | Dipetakan langsung dari kolom server_reported_fqdn dalam log mentah. |
| target_username | target.user.userid | Dipetakan langsung dari kolom target_username dalam log mentah. |
| metadata.event_type | Disetel ke "SCAN_UNCATEGORIZED" untuk peristiwa dan "SCAN_HOST" untuk pemindaian. | |
| metadata.log_type | Tetapkan ke "CLOUD_PASSAGE". | |
| metadata.product_name | Tetapkan ke "HALO". | |
| metadata.vendor_name | Tetapkan ke "CLOUDPASSAGE". | |
| principal.hostname | Disalin dari target.hostname. |
|
| security_result.action | Tetapkan ke "UNKNOWN_ACTION". | |
| security_result.category | Ditetapkan ke "POLICY_VIOLATION". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.