Cohesity-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus Syslog-Nachrichten der Cohesity-Sicherungssoftware mithilfe von Grok-Mustern. Er verarbeitet sowohl Standard-Syslog-Nachrichten als auch JSON-formatierte Logs, ordnet extrahierte Felder dem UDM zu und weist dynamisch einen event_type basierend auf dem Vorhandensein von Prinzipal- und Ziel-IDs zu.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf die Cohesity-Verwaltung.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Feed ein, z. B. Cohesity Logs (Cohesity-Protokolle).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Cohesity als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  11. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  12. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
  13. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  14. Klicken Sie auf Fertig.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.

  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.

  • Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.

  • Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Schränken Sie den API-Schlüsselzugriff auf die Chronicle API ein.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.

  2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: Die URL des Feed-Endpunkts.
    • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.
    • SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in Cohesity für Google SecOps konfigurieren

  1. Melden Sie sich in der Cohesity-Clusterverwaltung an.
  2. Rufen Sie den Abschnitt Schutzaufträge auf.
  3. Wählen Sie den Schutzjob aus, für den Sie den Webhook konfigurieren möchten.
  4. Klicken Sie neben dem Schutzjob auf das Menü Aktionen (Dreipunkt-Menü) > Bearbeiten.
  5. Wählen Sie den Tab Benachrichtigungen aus.
  6. Klicken Sie auf + Webhook hinzufügen.
  7. Geben Sie Werte für die folgenden Parameter an:
    • Name: Geben Sie einen aussagekräftigen Namen für den Webhook an, z. B. Google SecOps.
    • URL: Geben Sie die Google SecOps-<ENDPOINT_URL> ein.
    • Methode: Wählen Sie POST aus.
    • Inhaltstyp: Wählen Sie application/json aus.
    • Nutzlast: Dieses Feld hängt von den spezifischen Daten ab, die Sie senden möchten.
    • Webhook aktivieren: Setzen Sie ein Häkchen in das Kästchen, um den Webhook zu aktivieren.
  8. Konfiguration speichern:Klicken Sie auf Speichern, um die Webhook-Konfiguration auf den Schutzjob anzuwenden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
ClientIP principal.asset.ip Direkt aus dem Feld ClientIP zugeordnet.
ClientIP principal.ip Direkt aus dem Feld ClientIP zugeordnet.
description security_result.description Direkt aus dem Feld description zugeordnet.
DomainName target.asset.hostname Direkt aus dem Feld DomainName zugeordnet.
DomainName target.hostname Direkt aus dem Feld DomainName zugeordnet.
EntityPath target.url Direkt aus dem Feld EntityPath zugeordnet.
host principal.asset.hostname Direkt aus dem Feld host zugeordnet.
host principal.hostname Direkt aus dem Feld host zugeordnet. Kopiert aus dem Feld ts, nachdem es in einen Zeitstempel geparst wurde. Wird durch die Parserlogik basierend auf dem Vorhandensein von principal_mid_present, target_mid_present und principal_user_present bestimmt. Mögliche Werte: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT. Fest codiert auf „Cohesity“.
product_event_type metadata.product_event_type Direkt aus dem Feld product_event_type zugeordnet. Fest codiert auf „COHESITY“.
pid principal.process.pid Direkt aus dem Feld pid zugeordnet.
Protocol network.application_protocol Direkt aus dem Feld Protocol zugeordnet und in Großbuchstaben konvertiert.
RecordID additional.fields (key: "RecordID", value: RecordID) Direkt aus dem Feld RecordID zugeordnet, das unter additional.fields verschachtelt ist.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Direkt aus dem Feld RequestType zugeordnet, das unter security_result.detection_fields verschachtelt ist.
Result security_result.summary Direkt aus dem Feld Result zugeordnet.
sha_value additional.fields (Schlüssel: „SHA256“, Wert: sha_value) Direkt aus dem Feld sha_value zugeordnet, das unter additional.fields verschachtelt ist.
target_ip target.asset.ip Direkt aus dem Feld target_ip zugeordnet.
target_ip target.ip Direkt aus dem Feld target_ip zugeordnet.
target_port target.port Direkt aus dem Feld target_port zugeordnet, in eine Ganzzahl konvertiert.
Timestamp metadata.collected_timestamp Direkt aus dem Feld Timestamp zugeordnet, nachdem es in einen Zeitstempel geparst wurde.
ts events.timestamp Direkt aus dem Feld ts zugeordnet, nachdem es in einen Zeitstempel geparst wurde.
UserID principal.user.userid Direkt aus dem Feld UserID zugeordnet und in einen String konvertiert.
UserName principal.user.user_display_name Direkt aus dem Feld UserName zugeordnet.
UserSID principal.user.windows_sid Direkt aus dem Feld UserSID zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten