Raccogliere i log di Cohesity

Supportato in:

Panoramica

Questo parser estrae i campi dai messaggi syslog del software di backup Cohesity utilizzando i pattern grok. Gestisce sia i messaggi syslog standard sia i log in formato JSON, mappando i campi estratti su UDM e assegnando dinamicamente un event_type in base alla presenza di identificatori principali e di destinazione.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi alla gestione di Cohesity.

Configurare i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, feed (ad esempio, Cohesity Logs).
  5. Seleziona Webhook come Tipo di origine.
  6. Seleziona Cohesity come Tipo di log.
  7. Fai clic su Avanti.
  8. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
  9. Fai clic su Avanti.
  10. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  12. Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nella tua applicazione client.
  14. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla consoleGoogle Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso della chiave API all'API Chronicle.

Specifica l'URL dell'endpoint

  1. Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione a Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configurazione di un webhook in Cohesity per Google SecOps

  1. Accedi alla gestione del cluster Cohesity.
  2. Vai alla sezione Job di protezione.
  3. Seleziona il job di protezione per cui vuoi configurare il webhook.
  4. Fai clic sul menu Azioni (tre puntini verticali) accanto al job di protezione > Modifica.
  5. Seleziona la scheda Avvisi.
  6. Fai clic su + Aggiungi webhook.
  7. Specifica i valori per i seguenti parametri:
    • Nome: fornisci un nome descrittivo per il webhook (ad esempio Google SecOps).
    • URL: inserisci <ENDPOINT_URL> di Google SecOps.
    • Metodo: seleziona POST.
    • Tipo di contenuto: seleziona application/json.
    • Payload: questo campo dipende dai dati specifici che vuoi inviare.
    • Abilita webhook: seleziona la casella per abilitare il webhook.
  8. Salva la configurazione:fai clic su Salva per applicare la configurazione del webhook al job di protezione.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
ClientIP principal.asset.ip Mappato direttamente dal campo ClientIP.
ClientIP principal.ip Mappato direttamente dal campo ClientIP.
description security_result.description Mappato direttamente dal campo description.
DomainName target.asset.hostname Mappato direttamente dal campo DomainName.
DomainName target.hostname Mappato direttamente dal campo DomainName.
EntityPath target.url Mappato direttamente dal campo EntityPath.
host principal.asset.hostname Mappato direttamente dal campo host.
host principal.hostname Mappato direttamente dal campo host. Copiato dal campo ts dopo l'analisi in un timestamp. Determinato dalla logica dell'analizzatore sintattico in base alla presenza di principal_mid_present, target_mid_present e principal_user_present. Valori possibili: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT. Codificato in modo permanente su "Cohesity".
product_event_type metadata.product_event_type Mappato direttamente dal campo product_event_type. Codificato in modo permanente su "COESIONE".
pid principal.process.pid Mappato direttamente dal campo pid.
Protocol network.application_protocol Mappato direttamente dal campo Protocol, convertito in maiuscolo.
RecordID additional.fields (key: "RecordID", value: RecordID) Mappato direttamente dal campo RecordID, nidificato in additional.fields.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Mappato direttamente dal campo RequestType, nidificato in security_result.detection_fields.
Result security_result.summary Mappato direttamente dal campo Result.
sha_value additional.fields (chiave: "SHA256", valore: sha_value) Mappato direttamente dal campo sha_value, nidificato in additional.fields.
target_ip target.asset.ip Mappato direttamente dal campo target_ip.
target_ip target.ip Mappato direttamente dal campo target_ip.
target_port target.port Mappato direttamente dal campo target_port, convertito in numero intero.
Timestamp metadata.collected_timestamp Mappato direttamente dal campo Timestamp dopo l'analisi in un timestamp.
ts events.timestamp Mappato direttamente dal campo ts dopo l'analisi in un timestamp.
UserID principal.user.userid Mappato direttamente dal campo UserID, convertito in stringa.
UserName principal.user.user_display_name Mappato direttamente dal campo UserName.
UserSID principal.user.windows_sid Mappato direttamente dal campo UserSID.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.