Recolha registos da VPN Twingate

Compatível com:

Vista geral

Este analisador do Twingate extrai campos dos registos JSON da VPN do Twingate, normaliza-os e mapeia-os para o modelo de dados unificado (UDM). Processa vários tipos de eventos, incluindo detalhes de ligação, informações do utilizador, acesso a recursos e retransmissões intermediárias, enriquecendo os dados com metadados, como informações do fornecedor e do produto.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao AWS IAM e ao S3.

Configure o contentor do Amazon S3

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o Nome e a Região do contentor para referência futura.

  3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.

  4. Selecione o utilizador criado.

  5. Selecione o separador Credenciais de segurança.

  6. Clique em Criar chave de acesso na secção Chaves de acesso.

  7. Selecione Serviço de terceiros como Exemplo de utilização.

  8. Clicar em Seguinte.

  9. Opcional: adicione a etiqueta de descrição.

  10. Clique em Criar chave de acesso.

  11. Clique em Transferir ficheiro .csv para guardar a chave de acesso e a chave de acesso secreta para referência futura.

  12. Clique em Concluído.

  13. Selecione o separador Autorizações.

  14. Clique em Adicionar autorizações na secção Políticas de autorizações.

  15. Selecione Adicionar autorizações.

  16. Selecione Anexar políticas diretamente.

  17. Pesquise a política AmazonS3FullAccess.

  18. Selecione a política.

  19. Clicar em Seguinte.

  20. Clique em Adicionar autorizações.

Configure a sincronização do Twingate com o Amazon S3

  1. Aceda à consola do administrador do Twingate.
  2. Aceda a Definições > Relatórios.
  3. Clique em Sincronizar com o contentor S3.

  4. Configure a sincronização do S3:

    • Nome do contentor: indique o nome do seu contentor S3.

    • ID da chave de acesso: introduza a chave de acesso.

    • Chave de acesso secreta: introduza a chave secreta.

  5. Clique em Iniciar sincronização.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Twingate.
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Twingate como o Tipo de registo.
  7. Clicar em Seguinte.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região onde o contentor do Amazon S3 está localizado.
    • URI do S3: o URI do contentor. s3:/BUCKET_NAME Substitua o seguinte:
      • BUCKET_NAME: o nome do segmento.
    • O URI é um: selecione Diretório.
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
    • ID da chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: a chave secreta do utilizador com acesso ao contentor do S3.

  9. Clicar em Seguinte.

  10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Referência de mapeamento de campos

Este analisador transforma registos Twingate não processados no formato JSON em UDM. Normaliza os dados e extrai informações relevantes, mapeando-as para os campos da UDM correspondentes.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
connector.id read_only_udm.additional.fields[].key Definido como "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valor de connector.id.
connector.name read_only_udm.additional.fields[].key Definido como "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valor de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valor de connection.bytes_received (convertido num número inteiro sem sinal).
connection.bytes_transferred read_only_udm.network.sent_bytes Valor de connection.bytes_transferred (convertido num número inteiro sem sinal).
connection.client_ip read_only_udm.principal.asset.ip Valor de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valor de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valor de connection.protocol (convertido em maiúsculas).
device.id read_only_udm.principal.user.product_object_id Valor de device.id.
event.id read_only_udm.metadata.event_id Valor de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Parte dos segundos da indicação de tempo de event.time.
event.type read_only_udm.event.type Valor de event.type.
event.version read_only_udm.metadata.product_version Valor de event.version.
relays[].ip read_only_udm.intermediary.ip Valor de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valor de relays[].name.
relays[].port read_only_udm.intermediary.port Valor de relays[].port (convertido num número inteiro).
remote_network.id read_only_udm.network.session_id Valor de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valor de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valor de resource.address.
resource.address read_only_udm.principal.hostname Valor de resource.address.
resource.id read_only_udm.resource.product_object_id Valor de resource.id.
resource.port read_only_udm.principal.port Valor de resource.port (convertido num número inteiro).
status read_only_udm.security_result.summary Valor de status.
time read_only_udm.event.timestamp.seconds Parte dos segundos da indicação de tempo de time.
user.email read_only_udm.principal.user.email_addresses Valor de user.email.
user.id read_only_udm.principal.user.userid Valor de user.id.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.