Mengumpulkan log VPN Twingate

Didukung di:

Ringkasan

Parser Twingate ini mengekstrak kolom dari log JSON VPN Twingate, menormalisasinya, dan memetakannya ke Model Data Terpadu (UDM). Sistem ini menangani berbagai jenis peristiwa, termasuk detail koneksi, informasi pengguna, akses resource, dan relay perantara, yang memperkaya data dengan metadata seperti informasi vendor dan produk.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke AWS IAM dan S3.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk referensi di masa mendatang.

  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.

  4. Pilih Pengguna yang dibuat.

  5. Pilih tab Kredensial keamanan.

  6. Klik Create Access Key di bagian Access Keys.

  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.

  8. Klik Berikutnya.

  9. Opsional: tambahkan tag deskripsi.

  10. Klik Create access key.

  11. Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.

  12. Klik Selesai.

  13. Pilih tab Permissions.

  14. Klik Tambahkan izin di bagian Kebijakan izin.

  15. Pilih Tambahkan izin.

  16. Pilih Lampirkan kebijakan secara langsung.

  17. Cari kebijakan AmazonS3FullAccess.

  18. Pilih kebijakan.

  19. Klik Berikutnya.

  20. Klik Add permissions.

Mengonfigurasi sinkronisasi Twingate dengan Amazon S3

  1. Buka Konsol Admin Twingate.
  2. Buka Setelan > Laporan.
  3. Klik Sinkronkan ke Bucket S3.

  4. Konfigurasi S3 Sync:

    • Bucket Name: Berikan nama bucket S3 Anda.

    • Access Key ID: Masukkan Kunci Akses.

    • Secret Access Key: Masukkan Secret Key.

  5. Klik Mulai Menyinkronkan.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Twingate Logs.
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih Twingate sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • URI S3: URI bucket. s3:/BUCKET_NAME Ganti kode berikut:
      • BUCKET_NAME: nama bucket.
    • URI adalah: pilih Direktori.
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
    • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
    • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalisasi, lalu klik Kirim.

Referensi pemetaan kolom

Parser ini mengubah log Twingate mentah dalam format JSON menjadi UDM. Proses ini menormalisasi data dan mengekstrak informasi yang relevan, lalu memetakannya ke kolom UDM yang sesuai.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
connector.id read_only_udm.additional.fields[].key Disetel ke "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Nilai dari connector.id.
connector.name read_only_udm.additional.fields[].key Disetel ke "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Nilai dari connector.name.
connection.bytes_received read_only_udm.network.received_bytes Nilai dari connection.bytes_received (dikonversi menjadi bilangan bulat yang tidak bertanda).
connection.bytes_transferred read_only_udm.network.sent_bytes Nilai dari connection.bytes_transferred (dikonversi menjadi bilangan bulat yang tidak bertanda).
connection.client_ip read_only_udm.principal.asset.ip Nilai dari connection.client_ip.
connection.client_ip read_only_udm.principal.ip Nilai dari connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Nilai dari connection.protocol (dikonversi menjadi huruf besar).
device.id read_only_udm.principal.user.product_object_id Nilai dari device.id.
event.id read_only_udm.metadata.event_id Nilai dari event.id
event.time read_only_udm.metadata.event_timestamp.seconds Bagian detik stempel waktu dari event.time.
event.type read_only_udm.event.type Nilai dari event.type.
event.version read_only_udm.metadata.product_version Nilai dari event.version.
relays[].ip read_only_udm.intermediary.ip Nilai dari relays[].ip.
relays[].name read_only_udm.intermediary.hostname Nilai dari relays[].name.
relays[].port read_only_udm.intermediary.port Nilai dari relays[].port (dikonversi menjadi bilangan bulat).
remote_network.id read_only_udm.network.session_id Nilai dari remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Nilai dari remote_network.name.
resource.address read_only_udm.principal.asset.hostname Nilai dari resource.address.
resource.address read_only_udm.principal.hostname Nilai dari resource.address.
resource.id read_only_udm.resource.product_object_id Nilai dari resource.id.
resource.port read_only_udm.principal.port Nilai dari resource.port (dikonversi menjadi bilangan bulat).
status read_only_udm.security_result.summary Nilai dari status.
time read_only_udm.event.timestamp.seconds Bagian detik stempel waktu dari time.
user.email read_only_udm.principal.user.email_addresses Nilai dari user.email.
user.id read_only_udm.principal.user.userid Nilai dari user.id.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.