Raccogli i log di Aqua Security

Supportato in:

Panoramica

Questo analizzatore sintattico estrae i campi dai log di Aqua Security, trasformandoli nel modello di dati unificato (UDM). Analizza il campo message come JSON, estrae l'utente, l'IP di origine e altri campi pertinenti, li mappa ai campi UDM e classifica gli eventi in base al campo action, arricchendo i dati con il contesto di sicurezza, come i nomi delle regole, le descrizioni e i dettagli delle CVE.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato alla console di gestione di Aqua Security.

Configura un feed in Google SecOps per importare i log di Aqua Security

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Aqua Security).
  4. Seleziona Webhook come Tipo di origine.
  5. Seleziona Aqua Security come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso della chiave API all'API Chronicle.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione in Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Creazione di un webhook in Aqua Security per Google SecOps

  1. Accedi alla console Aqua Security.
  2. Vai a Impostazioni > Webhook dei risultati di scansione delle immagini.
  3. Seleziona la casella di controllo Abilita l'invio dei risultati della ricerca delle immagini.
  4. Inserisci <ENDPOINT_URL>, seguito da <API_KEY> e <SECRET>.
  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log (crescente) Mappatura UDM Logica
jsonPayload.action metadata.event_type Mappatura eseguita in base al valore di "jsonPayload.action". Consulta il codice del parser per mappature specifiche.
jsonPayload.action security_result.summary Mappatura diretta.
jsonPayload.adjective target.file.full_path Mappato direttamente se "jsonPayload.container" è vuoto.
jsonPayload.category target.asset.category Mappatura diretta.
jsonPayload.cfappname target.application Mappatura diretta.
jsonPayload.cfspace principal.user.userid Mappato direttamente se "jsonPayload.user" è vuoto.
jsonPayload.command principal.ip Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.command principal.user.userid Estratto utilizzando il pattern Grok "utente %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.container target.asset.product_object_id Mappatura diretta.
jsonPayload.data security_result.detection_fields Analizzati come coppie chiave-valore e mappati ai singoli campi all'interno di "security_result.detection_fields".
jsonPayload.description security_result.description Mappato direttamente se "jsonPayload.reason" è vuoto.
jsonPayload.host principal.hostname Mappatura diretta.
jsonPayload.hostgroup target.group.group_display_name Mappatura diretta.
jsonPayload.hostid target.asset_id Mappato come "ID host: %{jsonPayload.hostid}".
jsonPayload.hostip target.ip Mappatura diretta.
jsonPayload.image target.file.full_path Mappatura diretta.
jsonPayload.level security_result.action Imposta su "ALLOW" se "jsonPayload.level" è "success".
jsonPayload.reason security_result.description Mappatura diretta.
jsonPayload.rule security_result.rule_name Mappatura diretta.
jsonPayload.user principal.user.userid Mappatura diretta.
jsonPayload.vm_location target.asset.location.name Mappatura diretta.
jsonPayload.vm_name target.resource.name Mappatura diretta.
resource.labels.instance_id target.resource.id Mappatura diretta.
resource.labels.project_id target.asset.attribute.cloud.project.id Mappatura diretta.
resource.labels.zone target.asset.attribute.cloud.availability_zone Mappatura diretta.
timestamp metadata.event_timestamp Mappato direttamente dopo la conversione in formato ISO8601.
extensions.auth.type Imposta su "SSO" se "jsonPayload.description" contiene "SAML", altrimenti imposta su "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" è "login" o "Login".
metadata.log_type Impostato su "AQUA_SECURITY".
metadata.product_name Impostato su "AQUA_SECURITY".
metadata.vendor_name Impostato su "AQUA_SECURITY".
target.asset.attribute.cloud.environment Imposta su "GOOGLE_CLOUD_PLATFORM".
target.resource.type Impostato su "VIRTUAL_MACHINE".

Modifiche

2024-10-10

  • Miglioramento:
  • È stato aggiunto il supporto per i nuovi log".