Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Twingate VPN

Compatible avec :

Google SecOps SIEM

Présentation

Cet analyseur Twingate extrait les champs des journaux JSON Twingate VPN, les normalise et les mappe au modèle de données unifié (UDM). Il gère différents types d'événements, y compris les détails de connexion, les informations utilisateur, l'accès aux ressources et les relais intermédiaires, en enrichissant les données avec des métadonnées telles que les informations sur le fournisseur et le produit.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Accès privilégié à AWS IAM et S3.

Configurer le bucket Amazon S3

Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
Enregistrez le nom et la région du bucket pour référence ultérieure.
Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.

Remarque : Accordez à votre utilisateur AWS l'accès au bucket correspondant. Consultez le guide de l'utilisateur AWS (accès). Assurez-vous que les autorisations s3:ListBucket et s3:PutObject figurent dans la règle de l'utilisateur.
Sélectionnez l'utilisateur créé.
Sélectionnez l'onglet Informations d'identification de sécurité.
Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
Sélectionnez Service tiers comme Cas d'utilisation.
Cliquez sur Suivant.
Facultatif : ajoutez une balise de description.
Cliquez sur Créer une clé d'accès.
Cliquez sur Download .csv file (Télécharger le fichier .csv) pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.
Cliquez sur OK.
Sélectionnez l'onglet Autorisations.
Cliquez sur Ajouter des autorisations dans la section Règles relatives aux autorisations.
Sélectionnez Ajouter des autorisations.
Sélectionnez Joindre directement des règles.
Recherchez la règle AmazonS3FullAccess.
Sélectionnez la règle.
Cliquez sur Suivant.
Cliquez sur Ajouter des autorisations.

Configurer la synchronisation Twingate avec Amazon S3

Accédez à la console d'administration Twingate.
Accédez à Paramètres > Rapports.
Cliquez sur Synchroniser avec le bucket S3.
Configurez la synchronisation S3 :
- Nom du bucket : indiquez le nom de votre bucket S3.
  
  Remarque : L'accès public au bucket S3 doit être activé.
- ID de clé d'accès : saisissez la clé d'accès.
- Clé d'accès secrète : saisissez la clé secrète.
Cliquez sur Lancer la synchronisation.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Twingate).
Sélectionnez Amazon S3 comme Type de source.
Sélectionnez Twingate comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Région : région dans laquelle se trouve le bucket Amazon S3.
- URI S3 : URI du bucket. s3:/BUCKET_NAME Remplacez les éléments suivants :
  - BUCKET_NAME : nom du bucket.
- L'URI est : sélectionnez Répertoire.
- Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
Remarque : Si vous sélectionnez l'option Supprimer les fichiers transférés ou Supprimer les fichiers transférés et les répertoires vides, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
- Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran de finalisation, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

Région : région dans laquelle se trouve le bucket Amazon S3.
- URI S3 : URI du bucket. s3:/BUCKET_NAME Remplacez les éléments suivants :
  - BUCKET_NAME : nom du bucket.
- L'URI est : sélectionnez Répertoire.
- Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
Remarque : Si vous sélectionnez l'option Supprimer les fichiers transférés ou Supprimer les fichiers transférés et les répertoires vides, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
- Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

Options avancées

Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Référence du mappage de champs

Ce parseur transforme les journaux Twingate bruts au format JSON en UDM. Il normalise les données et extrait les informations pertinentes, en les mappant sur les champs UDM correspondants.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`connector.id`	`read_only_udm.additional.fields[].key`	Défini sur "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Valeur de `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Définissez-le sur "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Valeur de `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Valeur de `connection.bytes_received` (convertie en entier non signé).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Valeur de `connection.bytes_transferred` (convertie en entier non signé).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Valeur de `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Valeur de `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Valeur de `connection.protocol` (convertie en majuscules).
`device.id`	`read_only_udm.principal.user.product_object_id`	Valeur de `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Valeur de `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Partie "secondes" du code temporel de `event.time`.
`event.type`	`read_only_udm.event.type`	Valeur de `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Valeur de `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Valeur de `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Valeur de `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Valeur de `relays[].port` (convertie en nombre entier).
`remote_network.id`	`read_only_udm.network.session_id`	Valeur de `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Valeur de `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Valeur de `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Valeur de `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Valeur de `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Valeur de `resource.port` (convertie en nombre entier).
`status`	`read_only_udm.security_result.summary`	Valeur de `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Partie "secondes" du code temporel de `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Valeur de `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Valeur de `user.id`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.