Coletar registros do CloudPassage Halo
Compatível com:
Google SecOps
SIEM
Esse código do analisador Logstash transforma dados de registro JSON do CloudPassage Halo em um modelo de dados unificado (UDM). Ele extrai campos relevantes dos registros brutos, normaliza carimbos de data/hora, mapeia dados para campos da UDM e enriquece eventos com contexto adicional, como gravidade e informações do usuário.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Instância do Google SecOps.
- Acesso privilegiado ao CloudPassage Halo.
Como configurar uma chave de API no CloudPassage
- Faça login no CloudPassage Halo.
- Acesse Configurações > Administração do site.
- Clique na guia Chaves de API.
- Clique em Ações > Nova chave de API.
- Clique em Mostrar na sua chave na guia Chaves de API para mostrar os valores.
- Copie os valores de ID da chave e Chave secreta.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds
- Central de conteúdo > Pacotes de conteúdo
Configure feeds em "Configurações do SIEM" > "Feeds".
Para configurar um feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros do CloudPassage).
- Selecione API de terceiros como o Tipo de origem.
- Selecione Cloud Passage como o Tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome de usuário: insira o ID da chave.
- Secret: insira a Secret Key.
- Tipos de evento: tipo de eventos a serem incluídos. Se você não especificar tipos de evento, os eventos padrão da lista serão usados.
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
Configurar feeds na Central de conteúdo
Especifique valores para os seguintes campos:
- Nome de usuário: insira o ID da chave.
- Secret: insira a Secret Key.
- Tipos de evento: tipo de eventos a serem incluídos. Se você não especificar tipos de evento, serão usados os eventos padrão da lista.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Tipo de origem: método usado para coletar registros no Google SecOps.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| actor_country | principal.location.country_or_region | Mapeado diretamente do campo actor_country no registro bruto. |
| actor_ip_address | principal.ip | Mapeado diretamente do campo actor_ip_address no registro bruto. |
| actor_username | principal.user.userid | Mapeado diretamente do campo actor_username no registro bruto. |
| created_at | metadata.event_timestamp | Convertido para o formato de carimbo de data/hora da UDM do campo created_at no registro bruto. |
| crítica | security_result.severity | Se critical for verdadeiro, a gravidade será definida como "CRITICAL". Caso contrário, será definido como "INFORMATIVO" para eventos e calculado com base na contagem de descobertas para verificações. |
| ID | metadata.product_log_id | Mapeado diretamente do campo id no registro bruto de eventos. |
| mensagem | security_result.description | Descrição extraída do campo message usando o padrão grok. |
| nome | security_result.summary | Mapeado diretamente do campo name no registro bruto de eventos. |
| policy_name | security_result.detection_fields.policy_name | Mapeado diretamente do campo policy_name no registro bruto. |
| rule_name | security_result.rule_name | Mapeado diretamente do campo rule_name no registro bruto. |
| scan.created_at | metadata.event_timestamp | Convertido para o formato de carimbo de data/hora da UDM do campo scan.created_at no registro bruto das verificações. |
| scan.critical_findings_count | security_result.description | Usado para calcular a descrição dos eventos de verificação. Também usado para determinar o nível de gravidade. |
| scan.module | security_result.summary | Usado para gerar o resumo dos eventos de verificação. Convertido para maiúsculas. |
| scan.non_critical_findings_count | security_result.description | Usado para calcular a descrição dos eventos de verificação. Também usado para determinar o nível de gravidade. |
| scan.ok_findings_count | security_result.description | Usado para calcular a descrição dos eventos de verificação. |
| scan.server_hostname | target.hostname | Mapeado diretamente do campo scan.server_hostname no registro bruto das verificações. |
| scan.status | security_result.summary | Usado para gerar o resumo dos eventos de verificação. |
| scan.url | metadata.url_back_to_product | Mapeado diretamente do campo scan.url no registro bruto das verificações. |
| server_group_name | target.group.attribute.labels.server_group_name | Mapeado diretamente do campo server_group_name no registro bruto. |
| server_group_path | target.group.product_object_id | Mapeado diretamente do campo server_group_path no registro bruto. |
| server_hostname | target.hostname | Mapeado diretamente do campo server_hostname no registro bruto de eventos. |
| server_ip_address | target.ip | Mapeado diretamente do campo server_ip_address no registro bruto. |
| server_platform | target.platform | Mapeado diretamente do campo server_platform no registro bruto. Convertido para maiúsculas. |
| server_primary_ip_address | target.ip | Mapeado diretamente do campo server_primary_ip_address no registro bruto. |
| server_reported_fqdn | network.dns.authority.name | Mapeado diretamente do campo server_reported_fqdn no registro bruto. |
| target_username | target.user.userid | Mapeado diretamente do campo target_username no registro bruto. |
| metadata.event_type | Definido como "SCAN_UNCATEGORIZED" para eventos e "SCAN_HOST" para verificações. | |
| metadata.log_type | Defina como "CLOUD_PASSAGE". | |
| metadata.product_name | Defina como "HALO". | |
| metadata.vendor_name | Defina como "CLOUDPASSAGE". | |
| principal.hostname | Copiado de target.hostname. |
|
| security_result.action | Definido como "UNKNOWN_ACTION". | |
| security_result.category | Defina como "POLICY_VIOLATION". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.