Diese Seite wurde von der Cloud Translation API übersetzt.

Synology-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser extrahiert Felder aus Synology-SYSLOG-Nachrichten mithilfe von Grok-Mustern und ordnet sie dem UDM zu. Es werden verschiedene Logformate verarbeitet, Nutzeranmeldungen und Ressourcenzugriffe identifiziert und Ereignisse anhand von Keywords kategorisiert. Außerdem werden die Daten mit Anbieter- und Produktinformationen angereichert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google SecOps-Instanz.
Privilegierter Zugriff auf Synology DSM.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Synology Logs (Synology-Protokolle).
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Synology als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.

API-Schlüssel für den Webhook-Feed erstellen

Rufen Sie die Google Cloud Console > Anmeldedaten auf.

Zu den Anmeldedaten
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.

Endpunkt-URL angeben

Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.
Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Ersetzen Sie Folgendes:
- ENDPOINT_URL: Die URL des Feed-Endpunkts.
- API_KEY: Der API-Schlüssel für die Authentifizierung bei Google Security Operations.
- SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in Synology für Google SecOps erstellen

Melden Sie sich auf Ihrer Synology NAS im DiskStation Manager (DSM) an.
Rufen Sie die Systemsteuerung > Benachrichtigung > Webhook auf.
Klicken Sie auf Hinzufügen.
Geben Sie Werte für die folgenden Parameter an:
- Anbieter: Wählen Sie Benutzerdefiniert aus.
- Regel: Wählen Sie aus, welche Art von Nachrichten Sie in Ihrem Webhook senden möchten.
  
  Hinweis :Sie können eine benutzerdefinierte Regel erstellen, indem Sie Erstellen auswählen.
- Klicken Sie auf Weiter.
- Providername: Geben Sie dem Webhook einen eindeutigen Namen, z. B. Google SecOps.
- Betreff: Wird als Präfix der Benachrichtigung hinzugefügt.
- Webhook URL (Webhook-URL): Geben Sie ENDPOINT_URL ein.
- Wählen Sie Benachrichtigungen in Englisch senden aus.
- Klicken Sie auf Weiter.
- HTTP-Methode: Wählen Sie POST aus.
- Fügen Sie den Header X-Webhook-Access-Key mit dem Wert SECRET hinzu.
- Fügen Sie den Header X-goog-api-key mit dem Wert API_KEY hinzu.
- Klicken Sie auf Übernehmen.
Klicken Sie auf Anwenden, um den Webhook zu speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`app`	`target.application`	Der vom Grok-Filter extrahierte Wert des Felds `app` wird `target.application` zugewiesen.
`desc`	`metadata.description`	Der vom Grok-Filter extrahierte Wert des Felds `desc` wird `metadata.description` zugewiesen.
`desc`	`target.file.names`	Wenn das Feld `desc` „Closed)“ enthält, wird der Dateipfad in den Klammern extrahiert und `target.file.names` zugewiesen. Wenn das Feld `desc` „accessed shared folder“ enthält, wird der Ordnerpfad in den Klammern extrahiert und `target.file.names` zugewiesen.
`host`	`principal.hostname`	Der Wert des Felds `host`, der vom Grok-Filter aus dem Feld `host_and_ip` extrahiert wird, wird `principal.hostname` zugewiesen.
`host_and_ip`	`principal.ip`	Das Feld `host_and_ip` wird geparst. Wenn eine IP-Adresse (`ip1`) gefunden wird, wird sie `principal.ip` zugewiesen. Wenn eine zweite IP-Adresse (`ip2`) gefunden wird, wird sie ebenfalls zu `principal.ip` hinzugefügt.
`intermediary_host`	`intermediary.hostname`	Der vom Grok-Filter extrahierte Wert des Felds `intermediary_host` wird `intermediary.hostname` zugewiesen. Ein leeres `auth`-Objekt wird in `extensions` erstellt, wenn die Nachricht „angemeldet“ oder „anmelden“ enthält. Der Zeitstempel aus dem Feld `collection_time` des Rohlogs wird verwendet. Wenn die Nachricht „angemeldet“ oder „anmelden“ enthält, wird der Wert auf `USER_LOGIN` gesetzt. Wenn die Nachricht „accessed shared folder“ (auf freigegebenen Ordner zugegriffen) enthält, wird der Wert auf `USER_RESOURCE_ACCESS` festgelegt. Andernfalls wird standardmäßig `GENERIC_EVENT` verwendet. Der vom Grok-Filter extrahierte Wert des Felds `type` wird `metadata.product_event_type` zugewiesen. Der Wert ist statisch auf „SYNOLOGY“ festgelegt. Der Wert ist statisch auf „SYNOLOGY“ festgelegt. Wenn die Meldung „failed to sign“ enthält, wird der Wert auf `BLOCK` gesetzt. Wenn die Meldung „success“ enthält, wird der Wert auf `ALLOW` gesetzt. Wenn das Feld `severity` (extrahiert von grok) „INFO“ ist, wird der Wert auf `INFORMATIONAL` gesetzt.
`severity`	`security_result.severity`	Der vom Grok-Filter extrahierte Wert des Felds `severity` wird verwendet, um `security_result.severity` zu bestimmen. Wenn der Wert „INFO“ ist, wird er „INFORMATIONAL“ zugeordnet.
`time`	`metadata.event_timestamp`	Das vom Grok-Filter extrahierte Feld `time` wird geparst und in einen Zeitstempel umgewandelt. Dieser Zeitstempel wird dann `metadata.event_timestamp` zugewiesen.
`type`	`metadata.product_event_type`	Der vom Grok-Filter extrahierte Wert des Felds `type` wird `metadata.product_event_type` zugewiesen.
`user`	`target.administrative_domain`	Wenn eine Domain aus dem Feld `user` extrahiert wird, wird sie `target.administrative_domain` zugewiesen.
`user`	`target.user.userid`	Der Nutzername aus dem Feld `user` (vor dem „\“, falls vorhanden) wird extrahiert und `target.user.userid` zugewiesen. Der Zeitstempel aus dem Feld `collection_time` des Rohlogs wird verwendet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten