Coletar registros da Cohesity

Compatível com:

Visão geral

Esse analisador extrai campos de mensagens syslog do software de backup da Cohesity usando padrões grok. Ele processa mensagens syslog padrão e registros formatados em JSON, mapeando campos extraídos para a UDM e atribuindo dinamicamente um event_type com base na presença de identificadores principais e de destino.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao gerenciamento do Cohesity.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira o feed (por exemplo, Cohesity Logs).
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione Cohesity como o Tipo de registro.
  7. Clique em Próxima.
  8. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.
  11. Clique em Gerar chave secreta para autenticar o feed.
  12. Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
  13. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
  14. Clique em Concluído.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.

  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  • Clique em Gerar chave secreta para autenticar o feed.

  • Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.

  • Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.

Criar uma chave de API para o feed de webhook

  1. Acesse o console doGoogle Cloud > Credenciais.

    Ir para Credenciais

  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Chronicle.

Especifique o URL do endpoint

  1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed do webhook.

  2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendação: especifique a chave de API como um cabeçalho em vez de no URL.

  3. Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Substitua:

    • ENDPOINT_URL: o URL do endpoint do feed.
    • API_KEY: a chave de API para autenticar no Google SecOps.
    • SECRET: a chave secreta gerada para autenticar o feed.

Como configurar um webhook no Cohesity para o Google SecOps

  1. Faça login no gerenciamento de cluster da Cohesity.
  2. Acesse a seção Jobs de proteção.
  3. Selecione o job de proteção para o qual você quer configurar o webhook.
  4. Clique no menu Ações (três pontos verticais) ao lado do job de proteção > Editar.
  5. Selecione a guia Alertas.
  6. Clique em + Adicionar webhook.
  7. Especifique valores para os seguintes parâmetros:
    • Nome: informe um nome descritivo para o webhook (por exemplo, Google SecOps).
    • URL: insira o <ENDPOINT_URL> do Google SecOps.
    • Método: selecione POST.
    • Tipo de conteúdo: selecione application/json.
    • Payload: esse campo depende dos dados específicos que você quer enviar.
    • Ativar webhook: marque a caixa para ativar o webhook.
  8. Salve a configuração:clique em Salvar para aplicar a configuração do webhook ao job de proteção.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ClientIP principal.asset.ip Mapeado diretamente do campo ClientIP.
ClientIP principal.ip Mapeado diretamente do campo ClientIP.
description security_result.description Mapeado diretamente do campo description.
DomainName target.asset.hostname Mapeado diretamente do campo DomainName.
DomainName target.hostname Mapeado diretamente do campo DomainName.
EntityPath target.url Mapeado diretamente do campo EntityPath.
host principal.asset.hostname Mapeado diretamente do campo host.
host principal.hostname Mapeado diretamente do campo host. Copiado do campo ts depois que ele é analisado para um carimbo de data/hora. Determinado pela lógica do analisador com base na presença de principal_mid_present, target_mid_present e principal_user_present. Valores possíveis: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE, GENERIC_EVENT. Codificado como "Cohesity".
product_event_type metadata.product_event_type Mapeado diretamente do campo product_event_type. Codificado como "COHESITY".
pid principal.process.pid Mapeado diretamente do campo pid.
Protocol network.application_protocol Mapeado diretamente do campo Protocol e convertido para maiúsculas.
RecordID additional.fields (chave: "RecordID", valor: RecordID) Mapeado diretamente do campo RecordID, aninhado em additional.fields.
RequestType security_result.detection_fields (chave: "RequestType", valor: RequestType) Mapeado diretamente do campo RequestType, aninhado em security_result.detection_fields.
Result security_result.summary Mapeado diretamente do campo Result.
sha_value additional.fields (chave: "SHA256", valor: sha_value) Mapeado diretamente do campo sha_value, aninhado em additional.fields.
target_ip target.asset.ip Mapeado diretamente do campo target_ip.
target_ip target.ip Mapeado diretamente do campo target_ip.
target_port target.port Mapeado diretamente do campo target_port e convertido em número inteiro.
Timestamp metadata.collected_timestamp Mapeado diretamente do campo Timestamp depois de ser analisado como um carimbo de data/hora.
ts events.timestamp Mapeado diretamente do campo ts depois de ser analisado como um carimbo de data/hora.
UserID principal.user.userid Mapeado diretamente do campo UserID e convertido em string.
UserName principal.user.user_display_name Mapeado diretamente do campo UserName.
UserSID principal.user.windows_sid Mapeado diretamente do campo UserSID.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.