このページは Cloud Translation API によって翻訳されました。

Twingate VPN ログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

この Twingate パーサーは、Twingate VPN JSON ログからフィールドを抽出し、正規化して、統合データモデル（UDM）にマッピングします。接続の詳細、ユーザー情報、リソースアクセス、仲介リレーなどのさまざまなイベントタイプを処理し、ベンダーやプロダクト情報などのメタデータでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
AWS IAM と S3 への特権アクセス。

Amazon S3 バケットを構成する

バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
後で参照できるように、バケットの名前とリージョンを保存します。
IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。

注: 対応するバケットへのアクセス権を AWS ユーザーに付与します。AWS ユーザーガイド（アクセス）をご覧ください。ユーザーのポリシーに s3:ListBucket と s3:PutObject が記載されていることを確認します。
作成した [ユーザー] を選択します。
[セキュリティ認証情報] タブを選択します。
[アクセスキー] セクションで [アクセスキーを作成] をクリックします。
[ユースケース] として [サードパーティサービス] を選択します。
[次へ] をクリックします。
省略可: 説明タグを追加します。
[アクセスキーを作成] をクリックします。
[.csv ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレットアクセスキー] を保存し、今後の参照に備えます。
[完了] をクリックします。
[権限] タブを選択します。
[権限ポリシー] セクションの [権限を追加] をクリックします。
[権限を追加] を選択します。
[ポリシーを直接アタッチする] を選択します。
AmazonS3FullAccess ポリシーを検索します。
ポリシーを選択します。
[次へ] をクリックします。
[権限を追加] をクリックします。

Amazon S3 との Twingate 同期を構成する

Twingate 管理コンソールに移動します。
[設定] > [レポート] に移動します。
[S3 バケットに同期] をクリックします。
S3 同期を構成します。
- バケット名: S3 バケットの名前を指定します。
  
  注: S3 バケットで公開アクセスが有効になっている必要があります。
- アクセスキー ID: アクセスキーを入力します。
- シークレットアクセスキー: シークレットキーを入力します。
[同期を開始] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Twingate Logs）。
[ソースタイプ] として [Amazon S3] を選択します。
[ログタイプ] として [Twingate] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。s3:/BUCKET_NAME 次のように置き換えます。
  - BUCKET_NAME: バケットの名前。
- URI is a: [Directory] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: [転送されたファイルを削除する] オプションまたは [転送されたファイルと空のディレクトリを削除する] オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- アクセスキー ID: s3 バケットにアクセスできるユーザーアクセスキー。
- シークレットアクセスキー: s3 バケットにアクセスできるユーザーのシークレットキー。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。s3:/BUCKET_NAME 次のように置き換えます。
  - BUCKET_NAME: バケットの名前。
- URI is a: [Directory] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: [転送されたファイルを削除する] オプションまたは [転送されたファイルと空のディレクトリを削除する] オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- アクセスキー ID: s3 バケットにアクセスできるユーザーアクセスキー。
- シークレットアクセスキー: s3 バケットにアクセスできるユーザーのシークレットキー。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

フィールドマッピングリファレンス

このパーサーは、JSON 形式の未加工の Twingate ログを UDM に変換します。データを正規化して関連情報を抽出し、対応する UDM フィールドにマッピングします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`connector.id`	`read_only_udm.additional.fields[].key`	「connector_id」に設定します。
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	`connector.id` の値。
`connector.name`	`read_only_udm.additional.fields[].key`	「connector_name」に設定します。
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	`connector.name` の値。
`connection.bytes_received`	`read_only_udm.network.received_bytes`	`connection.bytes_received` の値（符号なし整数に変換）。
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	`connection.bytes_transferred` の値（符号なし整数に変換）。
`connection.client_ip`	`read_only_udm.principal.asset.ip`	`connection.client_ip` の値。
`connection.client_ip`	`read_only_udm.principal.ip`	`connection.client_ip` の値。
`connection.protocol`	`read_only_udm.network.ip_protocol`	`connection.protocol` の値（大文字に変換）。
`device.id`	`read_only_udm.principal.user.product_object_id`	`device.id` の値。
`event.id`	`read_only_udm.metadata.event_id`	`event.id` の値。
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	`event.time` のタイムスタンプの秒の部分。
`event.type`	`read_only_udm.event.type`	`event.type` の値。
`event.version`	`read_only_udm.metadata.product_version`	`event.version` の値。
`relays[].ip`	`read_only_udm.intermediary.ip`	`relays[].ip` の値。
`relays[].name`	`read_only_udm.intermediary.hostname`	`relays[].name` の値。
`relays[].port`	`read_only_udm.intermediary.port`	`relays[].port` からの値（整数に変換）。
`remote_network.id`	`read_only_udm.network.session_id`	`remote_network.id` の値。
`remote_network.name`	`read_only_udm.network.dhcp.sname`	`remote_network.name` の値。
`resource.address`	`read_only_udm.principal.asset.hostname`	`resource.address` の値。
`resource.address`	`read_only_udm.principal.hostname`	`resource.address` の値。
`resource.id`	`read_only_udm.resource.product_object_id`	`resource.id` の値。
`resource.port`	`read_only_udm.principal.port`	`resource.port` からの値（整数に変換）。
`status`	`read_only_udm.security_result.summary`	`status` の値。
`time`	`read_only_udm.event.timestamp.seconds`	`time` のタイムスタンプの秒の部分。
`user.email`	`read_only_udm.principal.user.email_addresses`	`user.email` の値。
`user.id`	`read_only_udm.principal.user.userid`	`user.id` の値。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。