Diese Seite wurde von der Cloud Translation API übersetzt.

Twingate-VPN-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Twingate-Parser extrahiert Felder aus Twingate VPN-JSON-Logs, normalisiert sie und ordnet sie dem Unified Data Model (UDM) zu. Es werden verschiedene Ereignistypen verarbeitet, darunter Verbindungsdetails, Nutzerinformationen, Ressourcenzugriff und Zwischenweiterleitungen. Die Daten werden mit Metadaten wie Anbieter- und Produktinformationen angereichert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google SecOps-Instanz.
Privilegierter Zugriff auf AWS IAM und S3.

Amazon S3-Bucket konfigurieren

Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.

Hinweis :Gewähren Sie Ihrem AWS-Nutzer Zugriff auf den entsprechenden Bucket. Weitere Informationen finden Sie im AWS-Nutzerhandbuch (Zugriff). Achten Sie darauf, dass der Nutzer in seiner Richtlinie die Berechtigungen s3:ListBucket und s3:PutObject hat.
Wählen Sie den erstellten Nutzer aus.
Wählen Sie den Tab Sicherheitsanmeldedaten aus.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach der Richtlinie AmazonS3FullAccess.
Wählen Sie die Richtlinie aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.

Twingate-Synchronisierung mit Amazon S3 konfigurieren

Rufen Sie die Twingate Admin Console auf.
Rufen Sie die Einstellungen > Berichte auf.
Klicken Sie auf Mit S3-Bucket synchronisieren.
Konfigurieren Sie die S3-Synchronisierung:
- Bucket-Name: Geben Sie den Namen Ihres S3-Buckets an.
  
  Hinweis: Für den S3-Bucket muss der öffentliche Zugriff aktiviert sein.
- Zugriffsschlüssel-ID: Geben Sie den Zugriffsschlüssel ein.
- Secret Access Key (Geheimer Zugriffsschlüssel): Geben Sie den geheimen Schlüssel ein.
Klicken Sie auf Synchronisierung starten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Twingate Logs (Twingate-Protokolle).
Wählen Sie Amazon S3 als Quelltyp aus.
Wählen Sie Twingate als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
  - BUCKET_NAME: der Name des Buckets.
- URI is a (URI ist ein): Wählen Sie Directory (Verzeichnis) aus.
- Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
Hinweis :Wenn Sie die Option Übertragene Dateien löschen oder Übertragene Dateien und leere Verzeichnisse löschen auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Finalize screen (Bildschirm „Abschließen“) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Region: Die Region, in der sich der Amazon S3-Bucket befindet.
- S3-URI: Der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
  - BUCKET_NAME: der Name des Buckets.
- URI is a (URI ist ein): Wählen Sie Directory (Verzeichnis) aus.
- Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
Hinweis :Wenn Sie die Option Übertragene Dateien löschen oder Übertragene Dateien und leere Verzeichnisse löschen auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
- Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

Erweiterte Optionen

Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Referenz zur Feldzuordnung

Dieser Parser wandelt Twingate-Rohlogs im JSON-Format in UDM um. Die Daten werden normalisiert und relevante Informationen werden extrahiert und den entsprechenden UDM-Feldern zugeordnet.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`connector.id`	`read_only_udm.additional.fields[].key`	Legen Sie diesen Wert auf „connector_id“ fest.
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Wert aus `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Legen Sie diesen Wert auf „connector_name“ fest.
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Wert aus `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Wert aus `connection.bytes_received` (in eine vorzeichenlose Ganzzahl konvertiert).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Wert aus `connection.bytes_transferred` (in eine vorzeichenlose Ganzzahl konvertiert).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Wert aus `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Wert aus `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Wert aus `connection.protocol` (in Großbuchstaben umgewandelt).
`device.id`	`read_only_udm.principal.user.product_object_id`	Wert aus `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Wert aus `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Der Sekundenanteil des Zeitstempels aus `event.time`.
`event.type`	`read_only_udm.event.type`	Wert aus `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Wert aus `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Wert aus `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Wert aus `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Wert aus `relays[].port` (in eine Ganzzahl umgewandelt).
`remote_network.id`	`read_only_udm.network.session_id`	Wert aus `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Wert aus `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Wert aus `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Wert aus `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Wert aus `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Wert aus `resource.port` (in eine Ganzzahl umgewandelt).
`status`	`read_only_udm.security_result.summary`	Wert aus `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Der Sekundenanteil des Zeitstempels aus `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Wert aus `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Wert aus `user.id`.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten