CloudPassage Halo のログを収集する

以下でサポートされています。

この Logstash パーサーコードは、CloudPassage Halo JSON ログデータを統合データモデル(UDM)に変換します。未加工のログから関連するフィールドを抽出し、タイムスタンプを正規化して、データを UDM フィールドにマッピングします。また、重大度やユーザー情報などの追加コンテキストでイベントを拡充します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • CloudPassage Halo への特権アクセス。

CloudPassage で API キーを構成する

  1. CloudPassage Halo にログインします。
  2. [Settings] > [Site Administration] に移動します。
  3. [API キー] タブをクリックします。
  4. [アクション] > [新しい API キー] をクリックします。
  5. [API キー] タブでキーの [表示] をクリックして、値を表示します。
  6. [キー ID] と [秘密鍵] の両方の値をコピーします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: CloudPassage Logs)。
  5. [ソースタイプ] として [サードパーティ API] を選択します。
  6. [ログタイプ] として [Cloud Passage] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータの値を指定します。
    • ユーザー名: キー ID を入力します。
    • Secret: シークレット キーを入力します。
    • イベントタイプ: 含めるイベントのタイプ(イベントタイプを指定しない場合は、リストのデフォルトのイベントが使用されます)。
  9. [次へ] をクリックします。
  10. [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • ユーザー名: キー ID を入力します。
  • Secret: シークレット キーを入力します。
  • イベントタイプ: 含めるイベントのタイプ(イベントタイプを指定しない場合は、リストのデフォルトのイベントが使用されます)。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
actor_country principal.location.country_or_region 未加工ログの actor_country フィールドから直接マッピングされます。
actor_ip_address principal.ip 未加工ログの actor_ip_address フィールドから直接マッピングされます。
actor_username principal.user.userid 未加工ログの actor_username フィールドから直接マッピングされます。
created_at metadata.event_timestamp 未加工ログの created_at フィールドから UDM タイムスタンプ形式に変換されます。
critical security_result.severity critical が true の場合、重大度は「CRITICAL」に設定されます。それ以外の場合は、イベントに対して「INFORMATIONAL」に設定され、スキャンの結果数に基づいて計算されます。
id metadata.product_log_id イベントの未加工ログの id フィールドから直接マッピングされます。
メッセージ security_result.description grok パターンを使用して message フィールドから説明を抽出しました。
name security_result.summary イベントの未加工ログの name フィールドから直接マッピングされます。
policy_name security_result.detection_fields.policy_name 未加工ログの policy_name フィールドから直接マッピングされます。
rule_name security_result.rule_name 未加工ログの rule_name フィールドから直接マッピングされます。
scan.created_at metadata.event_timestamp スキャンの未加工ログの scan.created_at フィールドから UDM タイムスタンプ形式に変換されます。
scan.critical_findings_count security_result.description スキャン イベントの説明を計算するために使用されます。重大度レベルの決定にも使用されます。
scan.module security_result.summary スキャン イベントの概要を生成するために使用されます。大文字に変換されました。
scan.non_critical_findings_count security_result.description スキャン イベントの説明を計算するために使用されます。重大度レベルの決定にも使用されます。
scan.ok_findings_count security_result.description スキャン イベントの説明を計算するために使用されます。
scan.server_hostname target.hostname スキャンの未加工ログの scan.server_hostname フィールドから直接マッピングされます。
scan.status security_result.summary スキャン イベントの概要を生成するために使用されます。
scan.url metadata.url_back_to_product スキャンの未加工ログの scan.url フィールドから直接マッピングされます。
server_group_name target.group.attribute.labels.server_group_name 未加工ログの server_group_name フィールドから直接マッピングされます。
server_group_path target.group.product_object_id 未加工ログの server_group_path フィールドから直接マッピングされます。
server_hostname target.hostname イベントの未加工ログの server_hostname フィールドから直接マッピングされます。
server_ip_address target.ip 未加工ログの server_ip_address フィールドから直接マッピングされます。
server_platform target.platform 未加工ログの server_platform フィールドから直接マッピングされます。大文字に変換されました。
server_primary_ip_address target.ip 未加工ログの server_primary_ip_address フィールドから直接マッピングされます。
server_reported_fqdn network.dns.authority.name 未加工ログの server_reported_fqdn フィールドから直接マッピングされます。
target_username target.user.userid 未加工ログの target_username フィールドから直接マッピングされます。
metadata.event_type イベントの場合は「SCAN_UNCATEGORIZED」、スキャンの場合は「SCAN_HOST」に設定します。
metadata.log_type 「CLOUD_PASSAGE」に設定します。
metadata.product_name 「HALO」に設定します。
metadata.vendor_name 「CLOUDPASSAGE」に設定します。
principal.hostname target.hostname からコピーされます。
security_result.action 「UNKNOWN_ACTION」に設定します。
security_result.category 「POLICY_VIOLATION」に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。