收集 Twingate VPN 記錄
總覽
這個 Twingate 剖析器會從 Twingate VPN JSON 記錄檔中擷取欄位、將欄位正規化,並對應至統合式資料模型 (UDM)。這項服務會處理各種事件類型,包括連線詳細資料、使用者資訊、資源存取權和中繼轉送,並使用供應商和產品資訊等中繼資料來擴充資料。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- AWS IAM 和 S3 的特殊權限。
設定 Amazon S3 儲存貯體
- 按照這份使用者指南建立 Amazon S3 值區:建立值區
- 儲存值區「名稱」和「區域」,以供日後參考。
請按照這份使用者指南建立使用者:建立 IAM 使用者。
選取建立的「使用者」。
選取「安全憑證」分頁標籤。
在「Access Keys」部分中,按一下「Create Access Key」。
選取「第三方服務」做為「用途」。
點選「下一步」。
選用:新增說明標記。
按一下「建立存取金鑰」。
按一下「Download .csv file」(下載 .csv 檔案),儲存「Access Key」(存取金鑰) 和「Secret Access Key」(私密存取金鑰),以供日後參考。
按一下 [完成]。
選取「權限」分頁標籤。
在「權限政策」部分中,按一下「新增權限」。
選取「新增權限」。
選取「直接附加政策」。
搜尋「AmazonS3FullAccess」AmazonS3FullAccess政策。
選取政策。
點選「下一步」。
按一下「新增權限」。
設定 Twingate 與 Amazon S3 同步
- 前往 Twingate 管理控制台。
- 依序前往「設定」>「報表」。
- 按一下「Sync to S3 Bucket」(同步至 S3 值區)。
設定 S3 Sync:
值區名稱:提供 S3 值區的名稱。
存取金鑰 ID:輸入存取金鑰。
存取密鑰:輸入私密金鑰。
按一下「開始同步」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Twingate Logs」。
- 選取「Amazon S3」做為「來源類型」。
- 選取「Twingate」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:值區 URI。
s3:/BUCKET_NAME取代下列項目:BUCKET_NAME:值區名稱。
- 「URI is a」(URI 為):選取「Directory」(目錄)。
- 來源刪除選項:根據偏好設定選取刪除選項。
- 存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
點選「下一步」。
在「Finalize」畫面中檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
區域:Amazon S3 值區所在的區域。
- S3 URI:值區 URI。
s3:/BUCKET_NAME取代下列項目:BUCKET_NAME:值區名稱。
- 「URI is a」(URI 為):選取「Directory」(目錄)。
- 來源刪除選項:根據偏好設定選取刪除選項。
- 存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- S3 URI:值區 URI。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這個剖析器會將 JSON 格式的原始 Twingate 記錄轉換為 UDM。並將資料正規化、擷取相關資訊,然後對應至相應的 UDM 欄位。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
connector.id |
read_only_udm.additional.fields[].key |
設為「connector_id」。 |
connector.id |
read_only_udm.additional.fields[].value.string_value |
connector.id 的值。 |
connector.name |
read_only_udm.additional.fields[].key |
設為「connector_name」。 |
connector.name |
read_only_udm.additional.fields[].value.string_value |
connector.name 的值。 |
connection.bytes_received |
read_only_udm.network.received_bytes |
connection.bytes_received 的值 (已轉換為無正負號整數)。 |
connection.bytes_transferred |
read_only_udm.network.sent_bytes |
connection.bytes_transferred 的值 (已轉換為無正負號整數)。 |
connection.client_ip |
read_only_udm.principal.asset.ip |
connection.client_ip 的值。 |
connection.client_ip |
read_only_udm.principal.ip |
connection.client_ip 的值。 |
connection.protocol |
read_only_udm.network.ip_protocol |
connection.protocol 的值 (已轉換為大寫)。 |
device.id |
read_only_udm.principal.user.product_object_id |
device.id 的值。 |
event.id |
read_only_udm.metadata.event_id |
event.id 的值 |
event.time |
read_only_udm.metadata.event_timestamp.seconds |
時間戳記的秒數部分 (從 event.time 開始)。 |
event.type |
read_only_udm.event.type |
event.type 的值。 |
event.version |
read_only_udm.metadata.product_version |
event.version 的值。 |
relays[].ip |
read_only_udm.intermediary.ip |
relays[].ip 的值。 |
relays[].name |
read_only_udm.intermediary.hostname |
relays[].name 的值。 |
relays[].port |
read_only_udm.intermediary.port |
relays[].port 的值 (轉換為整數)。 |
remote_network.id |
read_only_udm.network.session_id |
remote_network.id 的值。 |
remote_network.name |
read_only_udm.network.dhcp.sname |
remote_network.name 的值。 |
resource.address |
read_only_udm.principal.asset.hostname |
resource.address 的值。 |
resource.address |
read_only_udm.principal.hostname |
resource.address 的值。 |
resource.id |
read_only_udm.resource.product_object_id |
resource.id 的值。 |
resource.port |
read_only_udm.principal.port |
resource.port 的值 (轉換為整數)。 |
status |
read_only_udm.security_result.summary |
status 的值。 |
time |
read_only_udm.event.timestamp.seconds |
時間戳記的秒數部分 (從 time 開始)。 |
user.email |
read_only_udm.principal.user.email_addresses |
user.email 的值。 |
user.id |
read_only_udm.principal.user.userid |
user.id 的值。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。