Recoger registros de Cohesity

Disponible en:

Información general

Este analizador extrae campos de mensajes syslog del software de copia de seguridad de Cohesity mediante patrones grok. Gestiona tanto los mensajes syslog estándar como los registros con formato JSON, asigna los campos extraídos al UDM y asigna dinámicamente un event_type en función de la presencia de identificadores principales y de destino.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a la gestión de Cohesity.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce el nombre del feed (por ejemplo, Registros de Cohesity).
  5. Selecciona Webhook como Tipo de fuente.
  6. Seleccione Cohesity como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica los valores de los siguientes parámetros de entrada:
    • Delimitador de división: el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  12. Copia y guarda la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta, pero esta acción hará que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del endpoint del feed del campo Información del endpoint. Debes especificar esta URL de endpoint en tu aplicación cliente.
  14. Haz clic en Listo.

Crear una clave de API para la feed de webhook

  1. Ve a la Google Cloud consola > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API Chronicle.

Especificar la URL del endpoint

  1. En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Haz los cambios siguientes:

    • ENDPOINT_URL: URL del endpoint del feed.
    • API_KEY: la clave de API para autenticarte en Google SecOps.
    • SECRET: la clave secreta que has generado para autenticar el feed.

Configurar un webhook en Cohesity para Google SecOps

  1. Inicia sesión en la gestión de clústeres de Cohesity.
  2. Ve a la sección Trabajos de protección.
  3. Selecciona el trabajo de protección para el que quieras configurar el webhook.
  4. Haz clic en el menú Acciones (tres puntos verticales) situado junto al trabajo de protección > Editar.
  5. Selecciona la pestaña Alertas.
  6. Haz clic en + Añadir webhook.
  7. Especifique los valores de los siguientes parámetros:
    • Nombre: proporcione un nombre descriptivo para el webhook (por ejemplo, Google SecOps).
    • URL: introduce el <ENDPOINT_URL> de Google SecOps.
    • Método: selecciona POST.
    • Tipo de contenido: selecciona application/json.
    • Carga útil: este campo depende de los datos específicos que quieras enviar.
    • Habilitar webhook: marca la casilla para habilitar el webhook.
  8. Guarda la configuración: haz clic en Guardar para aplicar la configuración del webhook al trabajo de protección.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
ClientIP principal.asset.ip Se asigna directamente desde el campo ClientIP.
ClientIP principal.ip Se asigna directamente desde el campo ClientIP.
description security_result.description Se asigna directamente desde el campo description.
DomainName target.asset.hostname Se asigna directamente desde el campo DomainName.
DomainName target.hostname Se asigna directamente desde el campo DomainName.
EntityPath target.url Se asigna directamente desde el campo EntityPath.
host principal.asset.hostname Se asigna directamente desde el campo host.
host principal.hostname Se asigna directamente desde el campo host. Copiado del campo ts después de analizarlo como una marca de tiempo. Se determina mediante la lógica del analizador en función de la presencia de principal_mid_present, target_mid_present y principal_user_present. Valores posibles: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE y GENERIC_EVENT. Codificado como "Cohesity".
product_event_type metadata.product_event_type Se asigna directamente desde el campo product_event_type. Codificado como "COHESITY".
pid principal.process.pid Se asigna directamente desde el campo pid.
Protocol network.application_protocol Se asigna directamente desde el campo Protocol y se convierte a mayúsculas.
RecordID additional.fields (key: "RecordID", value: RecordID) Se asigna directamente desde el campo RecordID, anidado en additional.fields.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Se asigna directamente desde el campo RequestType, anidado en security_result.detection_fields.
Result security_result.summary Se asigna directamente desde el campo Result.
sha_value additional.fields (clave: "SHA256", valor: sha_value) Se asigna directamente desde el campo sha_value, anidado en additional.fields.
target_ip target.asset.ip Se asigna directamente desde el campo target_ip.
target_ip target.ip Se asigna directamente desde el campo target_ip.
target_port target.port Se asigna directamente desde el campo target_port y se convierte en un número entero.
Timestamp metadata.collected_timestamp Se asigna directamente desde el campo Timestamp después de analizarlo como una marca de tiempo.
ts events.timestamp Se asigna directamente desde el campo ts después de analizarlo como una marca de tiempo.
UserID principal.user.userid Se asigna directamente desde el campo UserID y se convierte en una cadena.
UserName principal.user.user_display_name Se asigna directamente desde el campo UserName.
UserSID principal.user.windows_sid Se asigna directamente desde el campo UserSID.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.