Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VPN Twingate

Didukung di:

Google secops SIEM

Ringkasan

Parser Twingate ini mengekstrak kolom dari log JSON VPN Twingate, menormalisasinya, dan memetakannya ke Model Data Terpadu (UDM). Sistem ini menangani berbagai jenis peristiwa, termasuk detail koneksi, informasi pengguna, akses resource, dan penerusan perantara, yang memperkaya data dengan metadata seperti informasi vendor dan produk.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke AWS IAM dan S3.

Mengonfigurasi bucket Amazon S3

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Nama dan Region bucket untuk referensi di masa mendatang.
Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.

Catatan: Beri pengguna AWS Anda akses ke bucket yang sesuai. Lihat Panduan Pengguna AWS (Akses). Pastikan pengguna memiliki s3:ListBucket dan s3:PutObject yang tercantum dalam kebijakannya.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
Klik Selesai.
Pilih tab Permissions.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Cari kebijakan AmazonS3FullAccess.
Pilih kebijakan.
Klik Berikutnya.
Klik Tambahkan izin.

Mengonfigurasi sinkronisasi Twingate dengan Amazon S3

Buka Konsol Admin Twingate.
Buka Setelan > Laporan.
Klik Sinkronkan ke Bucket S3.
Konfigurasi S3 Sync:
- Bucket Name: Berikan nama bucket S3 Anda.
  
  Catatan: Bucket S3 harus mengaktifkan akses publik.
- Access Key ID: Masukkan Kunci Akses.
- Secret Access Key: Masukkan Secret Key.
Klik Mulai Menyinkronkan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Twingate Logs.
Pilih Amazon S3 sebagai Jenis sumber.
Pilih Twingate sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: region tempat bucket Amazon S3 berada.
- URI S3: URI bucket. s3:/BUCKET_NAME Ganti kode berikut:
  - BUCKET_NAME: nama bucket.
- URI adalah: pilih Direktori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
- Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalisasi, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Region: region tempat bucket Amazon S3 berada.
- URI S3: URI bucket. s3:/BUCKET_NAME Ganti kode berikut:
  - BUCKET_NAME: nama bucket.
- URI adalah: pilih Direktori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
- Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Referensi pemetaan kolom

Parser ini mengubah log Twingate mentah dalam format JSON menjadi UDM. Proses ini menormalisasi data dan mengekstrak informasi yang relevan, lalu memetakannya ke kolom UDM yang sesuai.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`connector.id`	`read_only_udm.additional.fields[].key`	Disetel ke "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Disetel ke "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Nilai dari `connection.bytes_received` (dikonversi menjadi bilangan bulat yang tidak bertanda).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Nilai dari `connection.bytes_transferred` (dikonversi menjadi bilangan bulat yang tidak bertanda).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Nilai dari `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Nilai dari `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Nilai dari `connection.protocol` (dikonversi menjadi huruf besar).
`device.id`	`read_only_udm.principal.user.product_object_id`	Nilai dari `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Nilai dari `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Bagian detik stempel waktu dari `event.time`.
`event.type`	`read_only_udm.event.type`	Nilai dari `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Nilai dari `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Nilai dari `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Nilai dari `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Nilai dari `relays[].port` (dikonversi menjadi bilangan bulat).
`remote_network.id`	`read_only_udm.network.session_id`	Nilai dari `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Nilai dari `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Nilai dari `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Nilai dari `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Nilai dari `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Nilai dari `resource.port` (dikonversi menjadi bilangan bulat).
`status`	`read_only_udm.security_result.summary`	Nilai dari `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Bagian detik stempel waktu dari `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Nilai dari `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Nilai dari `user.id`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.