收集 Cohesity 記錄

支援的國家/地區:

總覽

這個剖析器會使用 grok 模式,從 Cohesity 備份軟體系統記錄訊息中擷取欄位。這個剖析器會處理標準系統記錄訊息和 JSON 格式的記錄,將擷取的欄位對應至 UDM,並根據主體和目標 ID 的存在與否,動態指派 event_type

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • Cohesity 管理的特殊存取權。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息名稱 (例如「Cohesity Logs」)。
  5. 選取「Webhook」做為「來源類型」
  6. 選取「Cohesity」做為「記錄類型」。
  7. 點選「下一步」
  8. 選用:指定下列輸入參數的值:
    • 分割分隔符號:用於分隔記錄行的分隔符號,例如 \n
  9. 點選「下一步」
  10. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」
  11. 按一下「產生密鑰」,產生驗證這個動態消息的密鑰。
  12. 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
  13. 在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
  14. 按一下 [完成]

從內容中心設定動態饋給

為下列欄位指定值:

  • 分割分隔符號:用於分隔記錄行的分隔符號,例如 \n

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。

  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

  • 按一下「產生密鑰」,產生驗證這個動態消息的密鑰。

  • 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。

  • 在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。

為 Webhook 資訊提供建立 API 金鑰

  1. 依序前往 Google Cloud 控制台 >「憑證」

    前往「憑證」

  2. 按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)

  3. 限制 API 金鑰對 Chronicle API 的存取權。

指定端點網址

  1. 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。

  2. 如要啟用驗證,請在自訂標頭中指定 API 金鑰和私密金鑰,格式如下:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    建議:請將 API 金鑰指定為標頭,而非在網址中指定。

  3. 如果 Webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    更改下列內容:

    • ENDPOINT_URL:動態消息端點網址。
    • API_KEY:用於向 Google SecOps 進行驗證的 API 金鑰。
    • SECRET:您產生的密鑰,用於驗證動態饋給。

在 Cohesity 中設定 Google SecOps 的 Webhook

  1. 登入 Cohesity 叢集管理。
  2. 前往「保護工作」部分。
  3. 選取要設定 Webhook 的保護工作。
  4. 依序點選保護作業旁的「動作」選單 (三個垂直排列的圓點) >「編輯」
  5. 選取「快訊」分頁標籤。
  6. 按一下「+ 新增 Webhook」
  7. 指定下列參數的值:
    • 名稱:為 Webhook 提供描述性名稱 (例如「Google SecOps」)。
    • 網址:輸入 Google SecOps <ENDPOINT_URL>
    • 方法:選取「POST」
    • 內容類型:選取「application/json」
    • 酬載:這個欄位取決於您要傳送的特定資料。
    • 啟用 Webhook:勾選方塊即可啟用 Webhook。
  8. 儲存設定:按一下「儲存」,將 Webhook 設定套用至保護工作。

UDM 對應表

記錄欄位 UDM 對應 邏輯
ClientIP principal.asset.ip 直接對應 ClientIP 欄位。
ClientIP principal.ip 直接對應 ClientIP 欄位。
description security_result.description 直接對應 description 欄位。
DomainName target.asset.hostname 直接對應 DomainName 欄位。
DomainName target.hostname 直接對應 DomainName 欄位。
EntityPath target.url 直接對應 EntityPath 欄位。
host principal.asset.hostname 直接對應 host 欄位。
host principal.hostname 直接對應 host 欄位。從 ts 欄位複製,並剖析為時間戳記。由剖析器邏輯根據 principal_mid_presenttarget_mid_presentprincipal_user_present 的存在與否判斷。可能的值:NETWORK_CONNECTIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。硬式編碼為「Cohesity」。
product_event_type metadata.product_event_type 直接對應 product_event_type 欄位。硬式編碼為「COHESITY」。
pid principal.process.pid 直接對應 pid 欄位。
Protocol network.application_protocol 直接從「Protocol」欄位對應,並轉換為大寫。
RecordID additional.fields (鍵:「RecordID」,值:RecordID) 直接從 RecordID 欄位對應,並巢狀內嵌於 additional.fields 下方。
RequestType security_result.detection_fields (key: "RequestType", value: RequestType) 直接從 RequestType 欄位對應,並巢狀內嵌於 security_result.detection_fields 下方。
Result security_result.summary 直接對應 Result 欄位。
sha_value additional.fields (鍵:「SHA256」,值:sha_value) 直接從 sha_value 欄位對應,並巢狀內嵌於 additional.fields 下方。
target_ip target.asset.ip 直接對應 target_ip 欄位。
target_ip target.ip 直接對應 target_ip 欄位。
target_port target.port 直接從 target_port 欄位對應,並轉換為整數。
Timestamp metadata.collected_timestamp Timestamp 欄位直接對應,並剖析為時間戳記。
ts events.timestamp ts 欄位直接對應,並剖析為時間戳記。
UserID principal.user.userid 直接從 UserID 欄位對應,並轉換為字串。
UserName principal.user.user_display_name 直接對應 UserName 欄位。
UserSID principal.user.windows_sid 直接對應 UserSID 欄位。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。