Recolha registos do Cohesity

Compatível com:

Vista geral

Este analisador extrai campos de mensagens syslog do software de cópia de segurança da Cohesity através de padrões grok. Processa mensagens syslog padrão e registos formatados em JSON, mapeando os campos extraídos para o UDM e atribuindo dinamicamente um event_type com base na presença de identificadores principais e de destino.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado à gestão do Cohesity.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza o nome do feed (por exemplo, Cohesity Logs).
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione Cohesity como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
  11. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
  12. Copie e armazene a chave secreta. Não pode ver esta chave secreta novamente. Se necessário, pode regenerar uma nova chave secreta, mas esta ação torna a chave secreta anterior obsoleta.
  13. No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
  14. Clique em Concluído.

Crie uma chave da API para o feed de webhook

  1. Aceda à Google Cloud consola > Credenciais.

    Aceder a Credenciais

  2. Clique em Criar credenciais e, de seguida, selecione Chave de API.

  3. Restrinja o acesso da chave da API à API Chronicle.

Especifique o URL do ponto final

  1. Na aplicação cliente, especifique o URL do ponto final HTTPS fornecido no feed do webhook.

  2. Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendação: especifique a chave da API como um cabeçalho em vez de a especificar no URL.

  3. Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Substitua o seguinte:

    • ENDPOINT_URL: o URL do ponto final do feed.
    • API_KEY: a chave da API para autenticar no Google SecOps.
    • SECRET: a chave secreta que gerou para autenticar o feed.

Configurar um webhook no Cohesity para o Google SecOps

  1. Inicie sessão na gestão do cluster do Cohesity.
  2. Aceda à secção Tarefas de proteção.
  3. Selecione a tarefa de proteção para a qual quer configurar o webhook.
  4. Clique no menu Ações (três pontos verticais) junto à tarefa de proteção > Editar.
  5. Selecione o separador Alertas.
  6. Clique em + Adicionar webhook.
  7. Especifique valores para os seguintes parâmetros:
    • Nome: indique um nome descritivo para o webhook (por exemplo, Google SecOps).
    • URL: introduza o <ENDPOINT_URL> do Google SecOps.
    • Método: selecione POST.
    • Tipo de conteúdo: selecione application/json.
    • Payload: este campo depende dos dados específicos que quer enviar.
    • Ativar webhook: selecione a caixa para ativar o webhook.
  8. Guarde a configuração: clique em Guardar para aplicar a configuração do webhook à tarefa de proteção.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
ClientIP principal.asset.ip Mapeado diretamente a partir do campo ClientIP.
ClientIP principal.ip Mapeado diretamente a partir do campo ClientIP.
description security_result.description Mapeado diretamente a partir do campo description.
DomainName target.asset.hostname Mapeado diretamente a partir do campo DomainName.
DomainName target.hostname Mapeado diretamente a partir do campo DomainName.
EntityPath target.url Mapeado diretamente a partir do campo EntityPath.
host principal.asset.hostname Mapeado diretamente a partir do campo host.
host principal.hostname Mapeado diretamente a partir do campo host. Copiado do campo ts depois de ser analisado para uma data/hora. Determinado pela lógica do analisador com base na presença de principal_mid_present, target_mid_present e principal_user_present. Valores possíveis: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE e GENERIC_EVENT. Codificado de forma rígida para "Cohesity".
product_event_type metadata.product_event_type Mapeado diretamente a partir do campo product_event_type. Codificado de forma rígida como "COHESITY".
pid principal.process.pid Mapeado diretamente a partir do campo pid.
Protocol network.application_protocol Mapeado diretamente a partir do campo Protocol, convertido em maiúsculas.
RecordID additional.fields (key: "RecordID", value: RecordID) Mapeado diretamente a partir do campo RecordID, aninhado em additional.fields.
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) Mapeado diretamente a partir do campo RequestType, aninhado em security_result.detection_fields.
Result security_result.summary Mapeado diretamente a partir do campo Result.
sha_value additional.fields (key: "SHA256", value: sha_value) Mapeado diretamente a partir do campo sha_value, aninhado em additional.fields.
target_ip target.asset.ip Mapeado diretamente a partir do campo target_ip.
target_ip target.ip Mapeado diretamente a partir do campo target_ip.
target_port target.port Mapeado diretamente a partir do campo target_port, convertido em número inteiro.
Timestamp metadata.collected_timestamp Mapeado diretamente a partir do campo Timestamp depois de ser analisado para uma indicação de tempo.
ts events.timestamp Mapeado diretamente a partir do campo ts depois de ser analisado para uma indicação de tempo.
UserID principal.user.userid Mapeado diretamente do campo UserID, convertido em string.
UserName principal.user.user_display_name Mapeado diretamente a partir do campo UserName.
UserSID principal.user.windows_sid Mapeado diretamente a partir do campo UserSID.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.