Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de la VPN de Twingate

Compatible con:

Google SecOps SIEM

Descripción general

Este analizador de Twingate extrae campos de los registros JSON de la VPN de Twingate, los normaliza y los asigna al modelo de datos unificado (UDM). Maneja varios tipos de eventos, incluidos los detalles de conexión, la información del usuario, el acceso a recursos y los retransmisores intermediarios, y enriquece los datos con metadatos, como la información del proveedor y del producto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps.
Acceso con privilegios a AWS IAM y S3

Configura el bucket de Amazon S3

Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
Guarda el Nombre y la Región del bucket para futuras referencias.
Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.

Nota: Otorga a tu usuario de AWS acceso al bucket correspondiente. Consulta la Guía del usuario de AWS (acceso). Asegúrate de que el usuario tenga s3:ListBucket y s3:PutObject en su política.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
Haz clic en Crear clave de acceso en la sección Claves de acceso.
Selecciona Servicio de terceros como Caso de uso.
Haz clic en Siguiente.
Opcional: Agrega una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo .csv para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Agregar permisos en la sección Políticas de permisos.
Selecciona Agregar permisos.
Selecciona Adjuntar políticas directamente.
Busca la política AmazonS3FullAccess.
Selecciona la política.
Haz clic en Siguiente.
Haz clic en Agregar permisos.

Configura la sincronización de Twingate con Amazon S3

Ve a la Consola del administrador de Twingate.
Ve a Configuración > Informes.
Haz clic en Sync to S3 Bucket.
Configura la sincronización con S3:
- Nombre del bucket: Proporciona el nombre de tu bucket de S3.
  
  Nota: El bucket de S3 debe tener habilitado el acceso público.
- ID de clave de acceso: Ingresa la clave de acceso.
- Clave de acceso secreta: Ingresa la clave secreta.
Haz clic en Iniciar sincronización.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración de SIEM > Feeds
Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración del SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Twingate.
Selecciona Amazon S3 como el Tipo de fuente.
Selecciona Twingate como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket. s3:/BUCKET_NAME Reemplaza lo siguiente:
  - BUCKET_NAME: el nombre del bucket.
- URI is a: Selecciona Directory.
- Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
Nota: Si seleccionas la opción Borrar archivos transferidos o Borrar archivos transferidos y directorios vacíos, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
- ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

Región: Es la región en la que se encuentra el bucket de Amazon S3.
- URI de S3: Es el URI del bucket. s3:/BUCKET_NAME Reemplaza lo siguiente:
  - BUCKET_NAME: el nombre del bucket.
- URI is a: Selecciona Directory.
- Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
Nota: Si seleccionas la opción Borrar archivos transferidos o Borrar archivos transferidos y directorios vacíos, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
- ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

Opciones avanzadas

Nombre del feed: Es un valor completado previamente que identifica el feed.
Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Referencia de la asignación de campos

Este analizador transforma los registros sin procesar de Twingate en formato JSON en UDM. Normaliza los datos y extrae la información pertinente, y la asigna a los campos correspondientes del UDM.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`connector.id`	`read_only_udm.additional.fields[].key`	Se establece en "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Valor de `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Se establece en "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Valor de `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Valor de `connection.bytes_received` (convertido en un número entero sin signo).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Valor de `connection.bytes_transferred` (convertido en un número entero sin signo).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Valor de `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Valor de `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Valor de `connection.protocol` (convertido a mayúsculas).
`device.id`	`read_only_udm.principal.user.product_object_id`	Valor de `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Valor de `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Parte de segundos de la marca de tiempo de `event.time`.
`event.type`	`read_only_udm.event.type`	Valor de `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Valor de `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Valor de `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Valor de `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Valor de `relays[].port` (convertido en un número entero).
`remote_network.id`	`read_only_udm.network.session_id`	Valor de `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Valor de `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Valor de `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Valor de `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Valor de `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Valor de `resource.port` (convertido en un número entero).
`status`	`read_only_udm.security_result.summary`	Valor de `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Parte de segundos de la marca de tiempo de `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Valor de `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Valor de `user.id`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.