收集 CloudPassage Halo 記錄
支援的國家/地區:
Google SecOps
SIEM
這段 Logstash 剖析器程式碼會將 CloudPassage Halo JSON 記錄資料轉換為統一資料模型 (UDM)。這項服務會從原始記錄中擷取相關欄位、正規化時間戳記、將資料對應至 UDM 欄位,並透過嚴重程度和使用者資訊等額外背景資訊擴充事件。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- CloudPassage Halo 的特殊存取權。
在 CloudPassage 中設定 API 金鑰
- 登入 CloudPassage Halo。
- 依序前往「設定」>「網站管理」。
- 按一下「API 金鑰」分頁標籤。
- 依序點選「動作」>「新增 API 金鑰」。
- 在「API 金鑰」分頁中,按一下金鑰的「顯示」,即可查看值。
- 複製「金鑰 ID」和「私密金鑰」的值。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「CloudPassage Logs」)。
- 選取「第三方 API」做為「來源類型」。
- 選取「Cloud Passage」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 使用者名稱:輸入金鑰 ID。
- 密鑰:輸入密鑰。
- 事件類型:要納入的事件類型 (如未指定事件類型,系統會使用清單中的預設事件)。
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 使用者名稱:輸入金鑰 ID。
- 密鑰:輸入密鑰。
- 事件類型:要納入的事件類型 (如未指定事件類型,系統會使用清單中的預設事件)。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| actor_country | principal.location.country_or_region | 直接從原始記錄中的 actor_country 欄位對應。 |
| actor_ip_address | principal.ip | 直接從原始記錄中的 actor_ip_address 欄位對應。 |
| actor_username | principal.user.userid | 直接從原始記錄中的 actor_username 欄位對應。 |
| created_at | metadata.event_timestamp | 從原始記錄的 created_at 欄位轉換為 UDM 時間戳記格式。 |
| 重大 | security_result.severity | 如果 critical 為 true,嚴重程度會設為「重大」。否則,事件會設為「INFORMATIONAL」,掃描結果則會根據發現的項目數量計算。 |
| id | metadata.product_log_id | 直接從事件原始記錄的 id 欄位對應。 |
| 訊息 | security_result.description | 使用 grok 模式從 message 欄位擷取說明。 |
| 名稱 | security_result.summary | 直接從事件原始記錄的 name 欄位對應。 |
| policy_name | security_result.detection_fields.policy_name | 直接從原始記錄中的 policy_name 欄位對應。 |
| rule_name | security_result.rule_name | 直接從原始記錄中的 rule_name 欄位對應。 |
| scan.created_at | metadata.event_timestamp | 從掃描的原始記錄檔中,將 scan.created_at 欄位轉換為 UDM 時間戳記格式。 |
| scan.critical_findings_count | security_result.description | 用於計算掃描事件的說明。也可用於判斷嚴重程度。 |
| scan.module | security_result.summary | 用於產生掃描事件的摘要。轉換為大寫。 |
| scan.non_critical_findings_count | security_result.description | 用於計算掃描事件的說明。也可用於判斷嚴重程度。 |
| scan.ok_findings_count | security_result.description | 用於計算掃描事件的說明。 |
| scan.server_hostname | target.hostname | 直接從掃描的原始記錄中的 scan.server_hostname 欄位對應。 |
| scan.status | security_result.summary | 用於產生掃描事件的摘要。 |
| scan.url | metadata.url_back_to_product | 直接從掃描的原始記錄中的 scan.url 欄位對應。 |
| server_group_name | target.group.attribute.labels.server_group_name | 直接從原始記錄中的 server_group_name 欄位對應。 |
| server_group_path | target.group.product_object_id | 直接從原始記錄中的 server_group_path 欄位對應。 |
| server_hostname | target.hostname | 直接從事件原始記錄的 server_hostname 欄位對應。 |
| server_ip_address | target.ip | 直接從原始記錄中的 server_ip_address 欄位對應。 |
| server_platform | target.platform | 直接從原始記錄中的 server_platform 欄位對應。轉換為大寫。 |
| server_primary_ip_address | target.ip | 直接從原始記錄中的 server_primary_ip_address 欄位對應。 |
| server_reported_fqdn | network.dns.authority.name | 直接從原始記錄中的 server_reported_fqdn 欄位對應。 |
| target_username | target.user.userid | 直接從原始記錄中的 target_username 欄位對應。 |
| metadata.event_type | 如果是事件,請設為「SCAN_UNCATEGORIZED」,如果是掃描,請設為「SCAN_HOST」。 | |
| metadata.log_type | 設為「CLOUD_PASSAGE」。 | |
| metadata.product_name | 設為「HALO」。 | |
| metadata.vendor_name | 設為「CLOUDPASSAGE」。 | |
| principal.hostname | 從「target.hostname」複製的項目。 |
|
| security_result.action | 設為「UNKNOWN_ACTION」。 | |
| security_result.category | 設為「POLICY_VIOLATION」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。