Mengumpulkan log Cohesity

Didukung di:

Ringkasan

Parser ini mengekstrak kolom dari pesan syslog software pencadangan Cohesity menggunakan pola grok. Proses ini menangani pesan syslog standar dan log berformat JSON, memetakan kolom yang diekstrak ke UDM, dan menetapkan event_type secara dinamis berdasarkan keberadaan ID target dan pokok.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke pengelolaan Cohesity.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan feed (misalnya, Cohesity Logs).
  5. Pilih Webhook sebagai Jenis sumber.
  6. Pilih Cohesity sebagai Log type.
  7. Klik Berikutnya.
  8. Opsional: Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti \n.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
  11. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  12. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku.
  13. Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.
  14. Klik Selesai.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti \n.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.

  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  • Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.

  • Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku.

  • Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.

Membuat kunci API untuk feed webhook

  1. Buka konsolGoogle Cloud > Kredensial.

    Buka Kredensial

  2. Klik Create credentials, lalu pilih API key.

  3. Membatasi akses kunci API ke Chronicle API.

Tentukan URL endpoint

  1. Di aplikasi klien Anda, tentukan URL endpoint HTTPS yang disediakan di feed webhook.

  2. Aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.

  3. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ganti kode berikut:

    • ENDPOINT_URL: URL endpoint feed.
    • API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
    • SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi Webhook di Cohesity untuk Google SecOps

  1. Login ke pengelolaan cluster Cohesity.
  2. Buka bagian Protection Jobs.
  3. Pilih tugas perlindungan yang ingin Anda konfigurasi webhook-nya.
  4. Klik menu Tindakan (tiga titik vertikal) di samping tugas perlindungan > Edit.
  5. Pilih tab Alerting.
  6. Klik + Tambahkan Webhook.
  7. Tentukan nilai untuk parameter berikut:
    • Nama: Berikan nama deskriptif untuk webhook (misalnya, Google SecOps).
    • URL: Masukkan <ENDPOINT_URL> Google SecOps.
    • Metode: Pilih POST.
    • Jenis Konten: Pilih application/json.
    • Payload: Kolom ini bergantung pada data spesifik yang ingin Anda kirim.
    • Aktifkan Webhook: Centang kotak untuk mengaktifkan webhook.
  8. Simpan Konfigurasi: Klik Simpan untuk menerapkan konfigurasi webhook ke tugas perlindungan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
ClientIP principal.asset.ip Dipetakan langsung dari kolom ClientIP.
ClientIP principal.ip Dipetakan langsung dari kolom ClientIP.
description security_result.description Dipetakan langsung dari kolom description.
DomainName target.asset.hostname Dipetakan langsung dari kolom DomainName.
DomainName target.hostname Dipetakan langsung dari kolom DomainName.
EntityPath target.url Dipetakan langsung dari kolom EntityPath.
host principal.asset.hostname Dipetakan langsung dari kolom host.
host principal.hostname Dipetakan langsung dari kolom host. Disalin dari kolom ts setelah diuraikan ke stempel waktu. Ditentukan oleh logika parser berdasarkan keberadaan principal_mid_present, target_mid_present, dan principal_user_present. Nilai yang mungkin: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT. Dikodekan secara permanen ke "Cohesity".
product_event_type metadata.product_event_type Dipetakan langsung dari kolom product_event_type. Dikodekan secara permanen ke "COHESITY".
pid principal.process.pid Dipetakan langsung dari kolom pid.
Protocol network.application_protocol Dipetakan langsung dari kolom Protocol, dikonversi menjadi huruf besar.
RecordID additional.fields (kunci: "RecordID", nilai: RecordID) Dipetakan langsung dari kolom RecordID, bertingkat di bawah additional.fields.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Dipetakan langsung dari kolom RequestType, bertingkat di bawah security_result.detection_fields.
Result security_result.summary Dipetakan langsung dari kolom Result.
sha_value additional.fields (kunci: "SHA256", nilai: sha_value) Dipetakan langsung dari kolom sha_value, bertingkat di bawah additional.fields.
target_ip target.asset.ip Dipetakan langsung dari kolom target_ip.
target_ip target.ip Dipetakan langsung dari kolom target_ip.
target_port target.port Dipetakan langsung dari kolom target_port, dikonversi menjadi bilangan bulat.
Timestamp metadata.collected_timestamp Dipetakan langsung dari kolom Timestamp setelah diuraikan ke stempel waktu.
ts events.timestamp Dipetakan langsung dari kolom ts setelah diuraikan ke stempel waktu.
UserID principal.user.userid Dipetakan langsung dari kolom UserID, dikonversi menjadi string.
UserName principal.user.user_display_name Dipetakan langsung dari kolom UserName.
UserSID principal.user.windows_sid Dipetakan langsung dari kolom UserSID.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.