Raccogli i log di Aqua Security
Panoramica
Questo analizzatore sintattico estrae i campi dai log di Aqua Security, trasformandoli nel modello di dati unificato (UDM). Analizza il campo message
come JSON, estrae l'utente, l'IP di origine e altri campi pertinenti, li mappa ai campi UDM e classifica gli eventi in base al campo action
, arricchendo i dati con il contesto di sicurezza, come i nomi delle regole, le descrizioni e i dettagli delle CVE.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso privilegiato alla console di gestione di Aqua Security.
Configura un feed in Google SecOps per importare i log di Aqua Security
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Aqua Security).
- Seleziona Webhook come Tipo di origine.
- Seleziona Aqua Security come Tipo di log.
- Fai clic su Avanti.
- (Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
\n
. - Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
- Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
- Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
- Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
- Fai clic su Fine.
Crea una chiave API per il feed webhook
Vai alla console Google Cloud > Credenziali.
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso della chiave API all'API Chronicle.
Specifica l'URL dell'endpoint
- Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Consiglio: specifica la chiave API come intestazione anziché nell'URL.
Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Sostituisci quanto segue:
ENDPOINT_URL
: l'URL dell'endpoint del feed.API_KEY
: la chiave API per l'autenticazione in Google SecOps.SECRET
: la chiave segreta che hai generato per autenticare il feed.
Creazione di un webhook in Aqua Security per Google SecOps
- Accedi alla console Aqua Security.
- Vai a Impostazioni > Webhook dei risultati di scansione delle immagini.
- Seleziona la casella di controllo Abilita l'invio dei risultati della ricerca delle immagini.
- Inserisci
<ENDPOINT_URL>
, seguito da<API_KEY>
e<SECRET>
. - Fai clic su Salva.
Tabella di mappatura UDM
Campo log (crescente) | Mappatura UDM | Logica |
---|---|---|
jsonPayload.action | metadata.event_type | Mappatura eseguita in base al valore di "jsonPayload.action". Consulta il codice del parser per mappature specifiche. |
jsonPayload.action | security_result.summary | Mappatura diretta. |
jsonPayload.adjective | target.file.full_path | Mappato direttamente se "jsonPayload.container" è vuoto. |
jsonPayload.category | target.asset.category | Mappatura diretta. |
jsonPayload.cfappname | target.application | Mappatura diretta. |
jsonPayload.cfspace | principal.user.userid | Mappato direttamente se "jsonPayload.user" è vuoto. |
jsonPayload.command | principal.ip | Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)". |
jsonPayload.command | principal.user.userid | Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)". |
jsonPayload.container | target.asset.product_object_id | Mappatura diretta. |
jsonPayload.data | security_result.detection_fields | Analizzati come coppie chiave-valore e mappati ai singoli campi all'interno di "security_result.detection_fields". |
jsonPayload.description | security_result.description | Mappato direttamente se "jsonPayload.reason" è vuoto. |
jsonPayload.host | principal.hostname | Mappatura diretta. |
jsonPayload.hostgroup | target.group.group_display_name | Mappatura diretta. |
jsonPayload.hostid | target.asset_id | Mappato come "ID host: %{jsonPayload.hostid}". |
jsonPayload.hostip | target.ip | Mappatura diretta. |
jsonPayload.image | target.file.full_path | Mappatura diretta. |
jsonPayload.level | security_result.action | Imposta su "ALLOW" se "jsonPayload.level" è "success". |
jsonPayload.reason | security_result.description | Mappatura diretta. |
jsonPayload.rule | security_result.rule_name | Mappatura diretta. |
jsonPayload.user | principal.user.userid | Mappatura diretta. |
jsonPayload.vm_location | target.asset.location.name | Mappatura diretta. |
jsonPayload.vm_name | target.resource.name | Mappatura diretta. |
resource.labels.instance_id | target.resource.id | Mappatura diretta. |
resource.labels.project_id | target.asset.attribute.cloud.project.id | Mappatura diretta. |
resource.labels.zone | target.asset.attribute.cloud.availability_zone | Mappatura diretta. |
timestamp | metadata.event_timestamp | Mappato direttamente dopo la conversione in formato ISO8601. |
extensions.auth.type | Imposta su "SSO" se "jsonPayload.description" contiene "SAML", altrimenti imposta su "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" è "login" o "Login". | |
metadata.log_type | Impostato su "AQUA_SECURITY". | |
metadata.product_name | Impostato su "AQUA_SECURITY". | |
metadata.vendor_name | Impostato su "AQUA_SECURITY". | |
target.asset.attribute.cloud.environment | Imposta su "GOOGLE_CLOUD_PLATFORM". | |
target.resource.type | Impostato su "VIRTUAL_MACHINE". |
Modifiche
2024-10-10
- Miglioramento:
- È stato aggiunto il supporto per i nuovi log".