Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogli i log di Aqua Security

Supportato in:

Google SecOps SIEM

Panoramica

Questo analizzatore sintattico estrae i campi dai log di Aqua Security, trasformandoli nel modello di dati unificato (UDM). Analizza il campo message come JSON, estrae l'utente, l'IP di origine e altri campi pertinenti, li mappa ai campi UDM e classifica gli eventi in base al campo action, arricchendo i dati con il contesto di sicurezza, come i nomi delle regole, le descrizioni e i dettagli delle CVE.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso privilegiato alla console di gestione di Aqua Security.

Configura un feed in Google SecOps per importare i log di Aqua Security

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuova.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Aqua Security).
Seleziona Webhook come Tipo di origine.
Seleziona Aqua Security come Tipo di log.
Fai clic su Avanti.
(Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
Fai clic su Fine.

Crea una chiave API per il feed webhook

Vai alla console Google Cloud > Credenziali.

Vai a credenziali
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso della chiave API all'API Chronicle.

Specifica l'URL dell'endpoint

Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Consiglio: specifica la chiave API come intestazione anziché nell'URL.
Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Sostituisci quanto segue:
- ENDPOINT_URL: l'URL dell'endpoint del feed.
- API_KEY: la chiave API per l'autenticazione in Google SecOps.
- SECRET: la chiave segreta che hai generato per autenticare il feed.

Creazione di un webhook in Aqua Security per Google SecOps

Accedi alla console Aqua Security.
Vai a Impostazioni > Webhook dei risultati di scansione delle immagini.
Seleziona la casella di controllo Abilita l'invio dei risultati della ricerca delle immagini.
Inserisci <ENDPOINT_URL>, seguito da <API_KEY> e <SECRET>.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log (crescente)	Mappatura UDM	Logica
jsonPayload.action	metadata.event_type	Mappatura eseguita in base al valore di "jsonPayload.action". Consulta il codice del parser per mappature specifiche.
jsonPayload.action	security_result.summary	Mappatura diretta.
jsonPayload.adjective	target.file.full_path	Mappato direttamente se "jsonPayload.container" è vuoto.
jsonPayload.category	target.asset.category	Mappatura diretta.
jsonPayload.cfappname	target.application	Mappatura diretta.
jsonPayload.cfspace	principal.user.userid	Mappato direttamente se "jsonPayload.user" è vuoto.
jsonPayload.command	principal.ip	Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.command	principal.user.userid	Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.container	target.asset.product_object_id	Mappatura diretta.
jsonPayload.data	security_result.detection_fields	Analizzati come coppie chiave-valore e mappati ai singoli campi all'interno di "security_result.detection_fields".
jsonPayload.description	security_result.description	Mappato direttamente se "jsonPayload.reason" è vuoto.
jsonPayload.host	principal.hostname	Mappatura diretta.
jsonPayload.hostgroup	target.group.group_display_name	Mappatura diretta.
jsonPayload.hostid	target.asset_id	Mappato come "ID host: %{jsonPayload.hostid}".
jsonPayload.hostip	target.ip	Mappatura diretta.
jsonPayload.image	target.file.full_path	Mappatura diretta.
jsonPayload.level	security_result.action	Imposta su "ALLOW" se "jsonPayload.level" è "success".
jsonPayload.reason	security_result.description	Mappatura diretta.
jsonPayload.rule	security_result.rule_name	Mappatura diretta.
jsonPayload.user	principal.user.userid	Mappatura diretta.
jsonPayload.vm_location	target.asset.location.name	Mappatura diretta.
jsonPayload.vm_name	target.resource.name	Mappatura diretta.
resource.labels.instance_id	target.resource.id	Mappatura diretta.
resource.labels.project_id	target.asset.attribute.cloud.project.id	Mappatura diretta.
resource.labels.zone	target.asset.attribute.cloud.availability_zone	Mappatura diretta.
timestamp	metadata.event_timestamp	Mappato direttamente dopo la conversione in formato ISO8601.
	extensions.auth.type	Imposta su "SSO" se "jsonPayload.description" contiene "SAML", altrimenti imposta su "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" è "login" o "Login".
	metadata.log_type	Impostato su "AQUA_SECURITY".
	metadata.product_name	Impostato su "AQUA_SECURITY".
	metadata.vendor_name	Impostato su "AQUA_SECURITY".
	target.asset.attribute.cloud.environment	Imposta su "GOOGLE_CLOUD_PLATFORM".
	target.resource.type	Impostato su "VIRTUAL_MACHINE".

Modifiche

2024-10-10

Miglioramento:
È stato aggiunto il supporto per i nuovi log".