Raccogliere i log di CloudPassage Halo
Supportato in:
Google secops
SIEM
Questo codice del parser Logstash trasforma i dati di log JSON di CloudPassage Halo in un modello UDM (Unified Data Model). Estrae i campi pertinenti dai log non elaborati, normalizza i timestamp, mappa i dati nei campi UDM e arricchisce gli eventi con un contesto aggiuntivo, come la gravità e le informazioni sull'utente.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps.
- Accesso con privilegi a CloudPassage Halo.
Configurazione di una chiave API in CloudPassage
- Accedi a CloudPassage Halo.
- Vai a Impostazioni > Amministrazione sito.
- Fai clic sulla scheda Chiavi API.
- Fai clic su Azioni > Nuova chiave API.
- Fai clic su Mostra per la tua chiave nella scheda Chiavi API per visualizzare i valori.
- Copia i valori di ID chiave e chiave segreta.
Configurare i feed
Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Hub dei contenuti > Pacchetti di contenuti
Configura i feed da Impostazioni SIEM > Feed
Per configurare un feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Log CloudPassage).
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Cloud Passage come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID chiave.
- Secret (Segreto): inserisci la chiave segreta.
- Tipi di eventi: il tipo di eventi da includere (se non specifichi i tipi di eventi, verranno utilizzati gli eventi predefiniti dell'elenco).
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Configurare i feed dall'hub dei contenuti
Specifica i valori per i seguenti campi:
- Nome utente: inserisci l'ID chiave.
- Secret (Segreto): inserisci la chiave segreta.
- Tipi di eventi: tipo di eventi da includere (se non specifichi i tipi di eventi, verranno utilizzati gli eventi predefiniti dell'elenco).
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| actor_country | principal.location.country_or_region | Mappato direttamente dal campo actor_country nel log non elaborato. |
| actor_ip_address | principal.ip | Mappato direttamente dal campo actor_ip_address nel log non elaborato. |
| actor_username | principal.user.userid | Mappato direttamente dal campo actor_username nel log non elaborato. |
| created_at | metadata.event_timestamp | Convertito nel formato timestamp UDM dal campo created_at nel log non elaborato. |
| critico | security_result.severity | Se critical è true, la gravità è impostata su "CRITICA". In caso contrario, è impostato su "INFORMATIVO" per gli eventi e viene calcolato in base al conteggio dei risultati per le scansioni. |
| ID | metadata.product_log_id | Mappato direttamente dal campo id nel log non elaborato per gli eventi. |
| messaggio | security_result.description | Descrizione estratta dal campo message utilizzando il pattern grok. |
| nome | security_result.summary | Mappato direttamente dal campo name nel log non elaborato per gli eventi. |
| policy_name | security_result.detection_fields.policy_name | Mappato direttamente dal campo policy_name nel log non elaborato. |
| rule_name | security_result.rule_name | Mappato direttamente dal campo rule_name nel log non elaborato. |
| scan.created_at | metadata.event_timestamp | Convertito nel formato timestamp UDM dal campo scan.created_at nel log non elaborato per le scansioni. |
| scan.critical_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. Utilizzato anche per determinare il livello di gravità. |
| scan.module | security_result.summary | Utilizzato per generare il riepilogo degli eventi di scansione. Convertito in maiuscolo. |
| scan.non_critical_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. Utilizzato anche per determinare il livello di gravità. |
| scan.ok_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. |
| scan.server_hostname | target.hostname | Mappato direttamente dal campo scan.server_hostname nel log non elaborato per le scansioni. |
| scan.status | security_result.summary | Utilizzato per generare il riepilogo degli eventi di scansione. |
| scan.url | metadata.url_back_to_product | Mappato direttamente dal campo scan.url nel log non elaborato per le scansioni. |
| server_group_name | target.group.attribute.labels.server_group_name | Mappato direttamente dal campo server_group_name nel log non elaborato. |
| server_group_path | target.group.product_object_id | Mappato direttamente dal campo server_group_path nel log non elaborato. |
| server_hostname | target.hostname | Mappato direttamente dal campo server_hostname nel log non elaborato per gli eventi. |
| server_ip_address | target.ip | Mappato direttamente dal campo server_ip_address nel log non elaborato. |
| server_platform | target.platform | Mappato direttamente dal campo server_platform nel log non elaborato. Convertito in maiuscolo. |
| server_primary_ip_address | target.ip | Mappato direttamente dal campo server_primary_ip_address nel log non elaborato. |
| server_reported_fqdn | network.dns.authority.name | Mappato direttamente dal campo server_reported_fqdn nel log non elaborato. |
| target_username | target.user.userid | Mappato direttamente dal campo target_username nel log non elaborato. |
| metadata.event_type | Imposta "SCAN_UNCATEGORIZED" per gli eventi e "SCAN_HOST" per le scansioni. | |
| metadata.log_type | Imposta su "CLOUD_PASSAGE". | |
| metadata.product_name | Imposta su "HALO". | |
| metadata.vendor_name | Imposta "CLOUDPASSAGE". | |
| principal.hostname | Copiato da target.hostname. |
|
| security_result.action | Imposta il valore su "UNKNOWN_ACTION". | |
| security_result.category | Imposta su "POLICY_VIOLATION". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.