Esta página foi traduzida pela API Cloud Translation.

Coletar registros da VPN do Twingate

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador do Twingate extrai campos dos registros JSON da VPN do Twingate, normaliza e mapeia para o modelo de dados unificado (UDM). Ele processa vários tipos de eventos, incluindo detalhes de conexão, informações do usuário, acesso a recursos e retransmissões intermediárias, enriquecendo os dados com metadados, como informações de fornecedor e produto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao IAM e ao S3 da AWS.

Configurar o bucket do Amazon S3

Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
Salve o Nome e a Região do bucket para referência futura.
Crie um usuário seguindo este guia: Como criar um usuário do IAM.

Observação: conceda ao usuário da AWS acesso ao bucket correspondente. Consulte o Guia do usuário da AWS (acesso). Verifique se o usuário tem s3:ListBucket e s3:PutObject listados na política dele.
Selecione o usuário criado.
Selecione a guia Credenciais de segurança.
Clique em Criar chave de acesso na seção Chaves de acesso.
Selecione Serviço de terceiros como Caso de uso.
Clique em Próxima.
Opcional: adicione uma tag de descrição.
Clique em Criar chave de acesso.
Clique em Download .csv file para salvar a Chave de acesso e a Chave de acesso secreta para referência futura.
Clique em Concluído.
Selecione a guia Permissões.
Clique em Adicionar permissões na seção Políticas de permissões.
Selecione Adicionar permissões.
Selecione Anexar políticas diretamente.
Pesquise a política AmazonS3FullAccess.
Selecione a política.
Clique em Próxima.
Clique em Adicionar permissões

Configurar a sincronização do Twingate com o Amazon S3

Acesse o Admin Console do Twingate.
Acesse Configurações > Relatórios.
Clique em Sincronizar com o bucket do S3.
Configure a sincronização do S3:
- Nome do bucket: informe o nome do bucket do S3.
  
  Observação: o bucket do S3 precisa ter o acesso público ativado.
- ID da chave de acesso: insira a chave de acesso.
- Chave de acesso secreta: insira a chave secreta.
Clique em Iniciar sincronização.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Twingate.
Selecione Amazon S3 como o Tipo de origem.
Selecione Twingate como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket. s3:/BUCKET_NAME Substitua:
  - BUCKET_NAME: o nome do bucket
- URI é um: selecione Diretório.
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
Observação: se você selecionar a opção Excluir arquivos transferidos ou Excluir arquivos transferidos e diretórios vazios, verifique se você concedeu as permissões adequadas à conta de serviço.
- ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
Clique em Próxima.
Revise a nova configuração do feed na tela de finalização e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket. s3:/BUCKET_NAME Substitua:
  - BUCKET_NAME: o nome do bucket
- URI é um: selecione Diretório.
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
Observação: se você selecionar a opção Excluir arquivos transferidos ou Excluir arquivos transferidos e diretórios vazios, verifique se você concedeu as permissões adequadas à conta de serviço.
- ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Referência de mapeamento de campos

Esse analisador transforma registros brutos do Twingate no formato JSON em UDM. Ele normaliza os dados e extrai informações relevantes, mapeando-as para os campos correspondentes do UDM.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`connector.id`	`read_only_udm.additional.fields[].key`	Defina como "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Valor de `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Defina como "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Valor de `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Valor de `connection.bytes_received` (convertido em um número inteiro sem sinal).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Valor de `connection.bytes_transferred` (convertido em um número inteiro sem sinal).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Valor de `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Valor de `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Valor de `connection.protocol` (convertido para maiúsculas).
`device.id`	`read_only_udm.principal.user.product_object_id`	Valor de `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Valor de `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Segundos do carimbo de data/hora de `event.time`.
`event.type`	`read_only_udm.event.type`	Valor de `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Valor de `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Valor de `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Valor de `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Valor de `relays[].port` (convertido em um número inteiro).
`remote_network.id`	`read_only_udm.network.session_id`	Valor de `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Valor de `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Valor de `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Valor de `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Valor de `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Valor de `resource.port` (convertido em um número inteiro).
`status`	`read_only_udm.security_result.summary`	Valor de `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Segundos do carimbo de data/hora de `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Valor de `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Valor de `user.id`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.