Recoger registros de VPN de Twingate

Disponible en:

Información general

Este analizador de Twingate extrae campos de los registros JSON de la VPN de Twingate, los normaliza y los asigna al modelo de datos unificado (UDM). Gestiona varios tipos de eventos, como detalles de conexión, información de usuario, acceso a recursos y retransmisiones intermediarias, y enriquece los datos con metadatos como información de proveedor y de producto.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a AWS IAM y S3.

Configurar un segmento de Amazon S3

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del bucket para consultarlos más adelante.

  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.

  4. Selecciona el usuario creado.

  5. Selecciona la pestaña Credenciales de seguridad.

  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.

  7. Selecciona Servicio de terceros como Caso práctico.

  8. Haz clic en Siguiente.

  9. Opcional: añade una etiqueta de descripción.

  10. Haz clic en Crear clave de acceso.

  11. Haz clic en Descargar archivo .csv para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.

  12. Haz clic en Listo.

  13. Selecciona la pestaña Permisos.

  14. Haz clic en Añadir permisos en la sección Políticas de permisos.

  15. Selecciona Añadir permisos.

  16. Seleccione Adjuntar políticas directamente.

  17. Busca la política AmazonS3FullAccess.

  18. Selecciona la política.

  19. Haz clic en Siguiente.

  20. Haz clic en Añadir permisos.

Configurar la sincronización de Twingate con Amazon S3

  1. Ve a la consola de administración de Twingate.
  2. Ve a Configuración > Informes.
  3. Haz clic en Sync to S3 Bucket (Sincronizar con el contenedor de S3).

  4. Configura la sincronización con S3:

    • Nombre del segmento: indica el nombre de tu segmento de S3.

    • ID de clave de acceso: introduce la clave de acceso.

    • Clave de acceso secreta: introduce la clave secreta.

  5. Haz clic en Iniciar sincronización.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed; por ejemplo, Registros de Twingate.
  5. Selecciona Amazon S3 como Tipo de fuente.
  6. Selecciona Twingate como Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • Región: la región en la que se encuentra el segmento de Amazon S3.
    • URI de S3: el URI del segmento. s3:/BUCKET_NAME Sustituye lo siguiente:
      • BUCKET_NAME: el nombre del segmento.
    • El URI es un: selecciona Directorio.
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • ID de clave de acceso: la clave de acceso del usuario con acceso al segmento de S3.
    • Clave de acceso secreta: la clave secreta del usuario con acceso al segmento de S3.

  9. Haz clic en Siguiente.

  10. Revise la nueva configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Referencia de asignación de campos

Este analizador transforma los registros sin procesar de Twingate en formato JSON a UDM. Normaliza los datos y extrae la información pertinente, asignándola a los campos de UDM correspondientes.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
connector.id read_only_udm.additional.fields[].key Se asigna a "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valor de connector.id.
connector.name read_only_udm.additional.fields[].key Se define como "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valor de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valor de connection.bytes_received (convertido en un número entero sin signo).
connection.bytes_transferred read_only_udm.network.sent_bytes Valor de connection.bytes_transferred (convertido en un número entero sin signo).
connection.client_ip read_only_udm.principal.asset.ip Valor de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valor de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valor de connection.protocol (convertido a mayúsculas).
device.id read_only_udm.principal.user.product_object_id Valor de device.id.
event.id read_only_udm.metadata.event_id Valor de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Parte de los segundos de la marca de tiempo de event.time.
event.type read_only_udm.event.type Valor de event.type.
event.version read_only_udm.metadata.product_version Valor de event.version.
relays[].ip read_only_udm.intermediary.ip Valor de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valor de relays[].name.
relays[].port read_only_udm.intermediary.port Valor de relays[].port (convertido en un número entero).
remote_network.id read_only_udm.network.session_id Valor de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valor de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valor de resource.address.
resource.address read_only_udm.principal.hostname Valor de resource.address.
resource.id read_only_udm.resource.product_object_id Valor de resource.id.
resource.port read_only_udm.principal.port Valor de resource.port (convertido en un número entero).
status read_only_udm.security_result.summary Valor de status.
time read_only_udm.event.timestamp.seconds Parte de los segundos de la marca de tiempo de time.
user.email read_only_udm.principal.user.email_addresses Valor de user.email.
user.id read_only_udm.principal.user.userid Valor de user.id.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.