Collecter les journaux Cohesity

Compatible avec :

Présentation

Cet analyseur extrait les champs des messages syslog du logiciel de sauvegarde Cohesity à l'aide de modèles Grok. Il gère à la fois les messages syslog standards et les journaux au format JSON, en mappant les champs extraits à l'UDM et en attribuant dynamiquement un event_type en fonction de la présence d'identifiants principaux et cibles.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à la gestion de Cohesity.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez le nom du flux (par exemple, Journaux Cohesity).
  5. Sélectionnez Webhook comme type de source.
  6. Sélectionnez Cohesity comme Type de journal.
  7. Cliquez sur Suivant.
  8. Facultatif : Spécifiez les valeurs des paramètres d'entrée suivants :
    • Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.
  11. Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
  12. Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
  13. Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
  14. Cliquez sur OK.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.

  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

  • Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.

  • Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.

  • Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.

Créer une clé API pour le flux de webhook

  1. Accédez à la consoleGoogle Cloud  > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants, puis sélectionnez Clé API.

  3. Restreignez l'accès à la clé API à l'API Chronicle.

Spécifier l'URL du point de terminaison

  1. Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.

  2. Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recommandation : Spécifiez la clé API en tant qu'en-tête au lieu de la spécifier dans l'URL.

  3. Si votre client de webhook n'accepte pas les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant :

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Remplacez les éléments suivants :

    • ENDPOINT_URL : URL du point de terminaison du flux.
    • API_KEY : clé API pour l'authentification auprès de Google SecOps.
    • SECRET : clé secrète que vous avez générée pour authentifier le flux.

Configurer un webhook dans Cohesity pour Google SecOps

  1. Connectez-vous à la gestion du cluster Cohesity.
  2. Accédez à la section Jobs de protection.
  3. Sélectionnez le job de protection pour lequel vous souhaitez configurer le webhook.
  4. Cliquez sur le menu Actions (trois points verticaux) à côté du job de protection > Modifier.
  5. Sélectionnez l'onglet Alertes.
  6. Cliquez sur + Ajouter un Webhook.
  7. Spécifiez les valeurs des paramètres suivants :
    • Nom : indiquez un nom descriptif pour le webhook (par exemple, Google SecOps).
    • URL : saisissez l'URL Google SecOps <ENDPOINT_URL>.
    • Méthode : sélectionnez POST.
    • Type de contenu : sélectionnez application/json.
    • Charge utile : ce champ dépend des données spécifiques que vous souhaitez envoyer.
    • Activer le webhook : cochez la case pour activer le webhook.
  8. Enregistrez la configuration : cliquez sur Enregistrer pour appliquer la configuration du webhook au job de protection.

Table de mappage UDM

Champ de journal Mappage UDM Logique
ClientIP principal.asset.ip Mappé directement à partir du champ ClientIP.
ClientIP principal.ip Mappé directement à partir du champ ClientIP.
description security_result.description Mappé directement à partir du champ description.
DomainName target.asset.hostname Mappé directement à partir du champ DomainName.
DomainName target.hostname Mappé directement à partir du champ DomainName.
EntityPath target.url Mappé directement à partir du champ EntityPath.
host principal.asset.hostname Mappé directement à partir du champ host.
host principal.hostname Mappé directement à partir du champ host. Copié à partir du champ ts après avoir été analysé en tant qu'horodatage. Déterminé par la logique de l'analyseur en fonction de la présence de principal_mid_present, target_mid_present et principal_user_present. Valeurs possibles : NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT. Codé en dur sur "Cohesity".
product_event_type metadata.product_event_type Mappé directement à partir du champ product_event_type. Codé en dur sur "COHESITY".
pid principal.process.pid Mappé directement à partir du champ pid.
Protocol network.application_protocol Directement mappé à partir du champ Protocol, converti en majuscules.
RecordID additional.fields (key: "RecordID", value: RecordID) Mappé directement à partir du champ RecordID, imbriqué sous additional.fields.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Mappé directement à partir du champ RequestType, imbriqué sous security_result.detection_fields.
Result security_result.summary Mappé directement à partir du champ Result.
sha_value additional.fields (clé : "SHA256", valeur : sha_value) Mappé directement à partir du champ sha_value, imbriqué sous additional.fields.
target_ip target.asset.ip Mappé directement à partir du champ target_ip.
target_ip target.ip Mappé directement à partir du champ target_ip.
target_port target.port Mappé directement à partir du champ target_port, converti en entier.
Timestamp metadata.collected_timestamp Mappé directement à partir du champ Timestamp après son analyse en code temporel.
ts events.timestamp Mappé directement à partir du champ ts après son analyse en code temporel.
UserID principal.user.userid Mappé directement à partir du champ UserID, converti en chaîne.
UserName principal.user.user_display_name Mappé directement à partir du champ UserName.
UserSID principal.user.windows_sid Mappé directement à partir du champ UserSID.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.