Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log della VPN Twingate

Supportato in:

Google secops SIEM

Panoramica

Questo parser Twingate estrae i campi dai log JSON della VPN Twingate, li normalizza e li mappa al modello UDM (Unified Data Model). Gestisce vari tipi di eventi, tra cui dettagli di connessione, informazioni utente, accesso alle risorse e relè intermedi, arricchendo i dati con metadati come informazioni su fornitori e prodotti.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps.
Accesso con privilegi ad AWS IAM e S3.

Configura il bucket Amazon S3

Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
Salva il Nome e la Regione del bucket per riferimento futuro.
Crea un utente seguendo questa guida utente: Creazione di un utente IAM.

Nota: concedi all'utente AWS l'accesso al bucket corrispondente. Consulta la guida per l'utente di AWS (accesso). Assicurati che l'utente abbia s3:ListBucket e s3:PutObject elencati nel criterio.
Seleziona l'utente creato.
Seleziona la scheda Credenziali di sicurezza.
Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
Seleziona Servizio di terze parti come Caso d'uso.
Fai clic su Avanti.
(Facoltativo) Aggiungi il tag di descrizione.
Fai clic su Crea chiave di accesso.
Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
Fai clic su Fine.
Seleziona la scheda Autorizzazioni.
Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
Seleziona Aggiungi autorizzazioni.
Seleziona Allega direttamente le norme.
Cerca il criterio AmazonS3FullAccess.
Seleziona la policy.
Fai clic su Avanti.
Fai clic su Aggiungi autorizzazioni.

Configura la sincronizzazione di Twingate con Amazon S3

Vai alla Console di amministrazione Twingate.
Vai a Impostazioni > Report.
Fai clic su Sincronizza con il bucket S3.
Configura la sincronizzazione S3:
- Nome bucket: fornisci il nome del bucket S3.
  
  Nota: il bucket S3 deve avere l'accesso pubblico abilitato.
- ID chiave di accesso: inserisci la chiave di accesso.
- Chiave di accesso segreta: inserisci la chiave segreta.
Fai clic su Avvia sincronizzazione.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed
Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Twingate.
Seleziona Amazon S3 come Tipo di origine.
Seleziona Twingate come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
  - BUCKET_NAME: il nome del bucket.
- L'URI è un: seleziona Directory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Nota: se selezioni l'opzione Elimina file trasferiti o Elimina file trasferiti e directory vuote, assicurati di aver concesso le autorizzazioni appropriate al service account.
- ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
- Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
  - BUCKET_NAME: il nome del bucket.
- L'URI è un: seleziona Directory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Nota: se selezioni l'opzione Elimina file trasferiti o Elimina file trasferiti e directory vuote, assicurati di aver concesso le autorizzazioni appropriate al service account.
- ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
- Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

Nome feed: un valore precompilato che identifica il feed.
Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Riferimento alla mappatura dei campi

Questo parser trasforma i log Twingate non elaborati in formato JSON in UDM. Normalizza i dati ed estrae le informazioni pertinenti, mappandole ai campi UDM corrispondenti.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`connector.id`	`read_only_udm.additional.fields[].key`	Imposta su "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Valore ottenuto da `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Imposta su "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Valore ottenuto da `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Valore ottenuto da `connection.bytes_received` (convertito in un numero intero senza segno).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Valore ottenuto da `connection.bytes_transferred` (convertito in un numero intero senza segno).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Valore ottenuto da `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Valore ottenuto da `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Valore di `connection.protocol` (convertito in maiuscolo).
`device.id`	`read_only_udm.principal.user.product_object_id`	Valore ottenuto da `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Valore ottenuto da `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Secondi del timestamp a partire da `event.time`.
`event.type`	`read_only_udm.event.type`	Valore ottenuto da `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Valore ottenuto da `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Valore ottenuto da `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Valore ottenuto da `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Valore ottenuto da `relays[].port` (convertito in un numero intero).
`remote_network.id`	`read_only_udm.network.session_id`	Valore ottenuto da `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Valore ottenuto da `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Valore ottenuto da `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Valore ottenuto da `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Valore ottenuto da `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Valore ottenuto da `resource.port` (convertito in un numero intero).
`status`	`read_only_udm.security_result.summary`	Valore ottenuto da `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Secondi del timestamp a partire da `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Valore ottenuto da `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Valore ottenuto da `user.id`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.