Cohesity のログを収集する

以下でサポートされています。

概要

このパーサーは、grok パターンを使用して Cohesity バックアップ ソフトウェアの syslog メッセージからフィールドを抽出します。標準の syslog メッセージと JSON 形式のログの両方を処理し、抽出されたフィールドを UDM にマッピングして、プリンシパルとターゲットの ID の有無に基づいて event_type を動的に割り当てます。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • Cohesity 管理への特権アクセス。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Cohesity Logs)。
  5. [Source type] として [Webhook] を選択します。
  6. [Log type] で [Cohesity] を選択します。
  7. [次へ] をクリックします。
  8. 省略可: 次の入力パラメータの値を指定します。
    • Split delimiter: ログ行を区切るために使用される区切り文字(\n など)。
  9. [次へ] をクリックします。
  10. [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
  11. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  12. 秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、その場合以前の秘密鍵は無効になります。
  13. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。 このエンドポイント URL をクライアント アプリケーション内で指定する必要があります。
  14. [完了] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Split delimiter: ログ行を区切るために使用される区切り文字(\n など)。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。

  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

  • [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。

  • 秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、その場合以前の秘密鍵は無効になります。

  • [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。 このエンドポイント URL をクライアント アプリケーション内で指定する必要があります。

Webhook フィード用の API キーを作成する

  1. Google Cloud コンソール > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] をクリックして [API キー] を選択します。

  3. API キーのアクセスを Chronicle API に制限します。

エンドポイント URL を指定する

  1. クライアント アプリケーション内で、Webhook フィードで提供される HTTPS エンドポイント URL を指定します。

  2. 次の形式でカスタム ヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    推奨事項: API キーは URL 内で指定するのではなくヘッダーとして指定してください。

  3. Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーと秘密鍵を指定できます。

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    以下を置き換えます。

    • ENDPOINT_URL: フィード エンドポイントの URL。
    • API_KEY: Google SecOps に対する認証に使用する API キー。
    • SECRET: フィードの認証用に生成した秘密鍵。

Google SecOps 用に Cohesity で Webhook を構成する

  1. Cohesity クラスタ管理にログインします。
  2. [Protection Jobs] セクションに移動します。
  3. Webhook を構成する保護ジョブを選択します。
  4. 保護ジョブの横にある [Actions] メニュー(縦に並んだ 3 つの点)> [Edit] をクリックします。
  5. [Alerting] タブを選択します。
  6. [+ Add Webhook] をクリックします。
  7. 次のパラメータの値を指定します。
    • Name: Webhook のわかりやすい名前を指定します(例: Google SecOps)。
    • URL: Google SecOps の <ENDPOINT_URL> を入力します。
    • Method: [POST] を選択します。
    • コンテンツ タイプ: application/json を選択します。
    • Payload: このフィールドは、送信する特定のデータによって異なります。
    • Webhook を有効にする: チェックボックスをオンにすると、Webhook が有効になります。
  8. 構成を保存する: [Save] をクリックして、Webhook 構成を保護ジョブに適用します。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
ClientIP principal.asset.ip ClientIP フィールドから直接マッピングされます。
ClientIP principal.ip ClientIP フィールドから直接マッピングされます。
description security_result.description description フィールドから直接マッピングされます。
DomainName target.asset.hostname DomainName フィールドから直接マッピングされます。
DomainName target.hostname DomainName フィールドから直接マッピングされます。
EntityPath target.url EntityPath フィールドから直接マッピングされます。
host principal.asset.hostname host フィールドから直接マッピングされます。
host principal.hostname host フィールドから直接マッピングされます。タイムスタンプに解析された後、ts フィールドからコピーされます。principal_mid_presenttarget_mid_presentprincipal_user_present の有無に基づいてパーサー ロジックによって決定されます。値は NETWORK_CONNECTIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT のいずれかです。「Cohesity」にハードコードされます。
product_event_type metadata.product_event_type product_event_type フィールドから直接マッピングされます。「COHESITY」にハードコードされます。
pid principal.process.pid pid フィールドから直接マッピングされます。
Protocol network.application_protocol Protocol フィールドから直接マッピングされ、大文字に変換されます。
RecordID additional.fields(キー: "RecordID"、値: RecordID RecordID フィールドから直接マッピングされ、additional.fields の下にネストされます。
RequestType security_result.detection_fields(キー: "RequestType"、値: RequestType RequestType フィールドから直接マッピングされ、security_result.detection_fields の下にネストされます。
Result security_result.summary Result フィールドから直接マッピングされます。
sha_value additional.fields(キー:「SHA256」、値: sha_value sha_value フィールドから直接マッピングされ、additional.fields の下にネストされます。
target_ip target.asset.ip target_ip フィールドから直接マッピングされます。
target_ip target.ip target_ip フィールドから直接マッピングされます。
target_port target.port target_port フィールドから直接マッピングされ、整数に変換されます。
Timestamp metadata.collected_timestamp タイムスタンプに解析された後、Timestamp フィールドから直接マッピングされます。
ts events.timestamp タイムスタンプに解析された後、ts フィールドから直接マッピングされます。
UserID principal.user.userid UserID フィールドから直接マッピングされ、文字列に変換されます。
UserName principal.user.user_display_name UserName フィールドから直接マッピングされます。
UserSID principal.user.windows_sid UserSID フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。