Coletar registros da VPN do Twingate

Compatível com:

Visão geral

Esse analisador do Twingate extrai campos dos registros JSON da VPN do Twingate, normaliza e mapeia para o modelo de dados unificado (UDM). Ele processa vários tipos de eventos, incluindo detalhes de conexão, informações do usuário, acesso a recursos e retransmissões intermediárias, enriquecendo os dados com metadados, como informações de fornecedor e produto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao IAM e ao S3 da AWS.

Configurar o bucket do Amazon S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Salve o Nome e a Região do bucket para referência futura.

  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.

  4. Selecione o usuário criado.

  5. Selecione a guia Credenciais de segurança.

  6. Clique em Criar chave de acesso na seção Chaves de acesso.

  7. Selecione Serviço de terceiros como Caso de uso.

  8. Clique em Próxima.

  9. Opcional: adicione uma tag de descrição.

  10. Clique em Criar chave de acesso.

  11. Clique em Download .csv file para salvar a Chave de acesso e a Chave de acesso secreta para referência futura.

  12. Clique em Concluído.

  13. Selecione a guia Permissões.

  14. Clique em Adicionar permissões na seção Políticas de permissões.

  15. Selecione Adicionar permissões.

  16. Selecione Anexar políticas diretamente.

  17. Pesquise a política AmazonS3FullAccess.

  18. Selecione a política.

  19. Clique em Próxima.

  20. Clique em Adicionar permissões

Configurar a sincronização do Twingate com o Amazon S3

  1. Acesse o Admin Console do Twingate.
  2. Acesse Configurações > Relatórios.
  3. Clique em Sincronizar com o bucket do S3.

  4. Configure a sincronização do S3:

    • Nome do bucket: informe o nome do bucket do S3.

    • ID da chave de acesso: insira a chave de acesso.

    • Chave de acesso secreta: insira a chave secreta.

  5. Clique em Iniciar sincronização.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Twingate.
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Twingate como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. s3:/BUCKET_NAME Substitua:
      • BUCKET_NAME: o nome do bucket
    • URI é um: selecione Diretório.
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela de finalização e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.

    • URI do S3: o URI do bucket. s3:/BUCKET_NAME Substitua:
      • BUCKET_NAME: o nome do bucket
    • URI é um: selecione Diretório.
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Referência de mapeamento de campos

Esse analisador transforma registros brutos do Twingate no formato JSON em UDM. Ele normaliza os dados e extrai informações relevantes, mapeando-as para os campos correspondentes do UDM.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
connector.id read_only_udm.additional.fields[].key Defina como "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valor de connector.id.
connector.name read_only_udm.additional.fields[].key Defina como "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valor de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valor de connection.bytes_received (convertido em um número inteiro sem sinal).
connection.bytes_transferred read_only_udm.network.sent_bytes Valor de connection.bytes_transferred (convertido em um número inteiro sem sinal).
connection.client_ip read_only_udm.principal.asset.ip Valor de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valor de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valor de connection.protocol (convertido para maiúsculas).
device.id read_only_udm.principal.user.product_object_id Valor de device.id.
event.id read_only_udm.metadata.event_id Valor de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Segundos do carimbo de data/hora de event.time.
event.type read_only_udm.event.type Valor de event.type.
event.version read_only_udm.metadata.product_version Valor de event.version.
relays[].ip read_only_udm.intermediary.ip Valor de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valor de relays[].name.
relays[].port read_only_udm.intermediary.port Valor de relays[].port (convertido em um número inteiro).
remote_network.id read_only_udm.network.session_id Valor de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valor de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valor de resource.address.
resource.address read_only_udm.principal.hostname Valor de resource.address.
resource.id read_only_udm.resource.product_object_id Valor de resource.id.
resource.port read_only_udm.principal.port Valor de resource.port (convertido em um número inteiro).
status read_only_udm.security_result.summary Valor de status.
time read_only_udm.event.timestamp.seconds Segundos do carimbo de data/hora de time.
user.email read_only_udm.principal.user.email_addresses Valor de user.email.
user.id read_only_udm.principal.user.userid Valor de user.id.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.