Aqua Security ログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、Aqua Security ログからフィールドを抽出し、統合データモデル(UDM)に変換します。message フィールドを JSON として解析し、ユーザー、送信元 IP などの関連フィールドを抽出して UDM フィールドにマッピングし、action フィールドに基づいてイベントを分類し、ルール名、説明、CVE の詳細などのセキュリティ コンテキストでデータを拡充します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Aqua Security 管理コンソールに特権アクセス権があることを確認します。
Aqua Security のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Aqua Security Logs)。
- [ソースタイプ] として [Webhook] を選択します。
- [ログタイプ] で [Aqua Security] を選択します。
- [次へ] をクリックします。
- 省略可: 次の入力パラメータの値を指定します。
- 分割区切り文字: ログ行を区切るために使用される区切り文字(
\nなど)。 - アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- 分割区切り文字: ログ行を区切るために使用される区切り文字(
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- シークレット キーをコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
- [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、クライアント アプリケーションで指定する必要があります。
- [完了] をクリックします。
Webhook フィードの API キーを作成する
Google Cloud コンソール > [認証情報] に移動します。
[認証情報を作成] をクリックして [API キー] を選択します。
API キーによる Chronicle API へのアクセスを制限します。
エンドポイント URL を指定する
- クライアント アプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。
次の形式でカスタム ヘッダーの一部として API キーとシークレット キーを指定して、認証を有効にします。
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET推奨事項: API キーは URL ではなくヘッダーとして指定してください。
Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーとシークレット キーを指定できます。
ENDPOINT_URL?key=API_KEY&secret=SECRET次のように置き換えます。
ENDPOINT_URL: フィードのエンドポイント URL。API_KEY: Google SecOps に対する認証に使用する API キー。SECRET: フィードの認証用に生成したシークレット キー。
Google SecOps 用に Aqua Security で Webhook を作成する
- Aqua Security コンソールにログインします。
- [設定] > [画像スキャン結果の Webhook] に移動します。
- [画像スキャン結果の送信を有効にする] チェックボックスをオンにします。
<ENDPOINT_URL>に続いて<API_KEY>と<SECRET>を入力します。- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド(昇順) | UDM マッピング | ロジック |
|---|---|---|
| jsonPayload.action | metadata.event_type | 「jsonPayload.action」の値に基づいてマッピングされます。具体的なマッピングについては、パーサーコードをご覧ください。 |
| jsonPayload.action | security_result.summary | 直接マッピング。 |
| jsonPayload.adjective | target.file.full_path | 「jsonPayload.container」が空の場合、直接マッピングされます。 |
| jsonPayload.category | target.asset.category | 直接マッピング。 |
| jsonPayload.cfappname | target.application | 直接マッピング。 |
| jsonPayload.cfspace | principal.user.userid | 「jsonPayload.user」が空の場合、直接マッピングされます。 |
| jsonPayload.command | principal.ip | grok パターン「user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)」を使用して抽出されます。 |
| jsonPayload.command | principal.user.userid | grok パターン「user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)」を使用して抽出されます。 |
| jsonPayload.container | target.asset.product_object_id | 直接マッピング。 |
| jsonPayload.data | security_result.detection_fields | Key-Value ペアとして解析され、「security_result.detection_fields」内の個々のフィールドにマッピングされます。 |
| jsonPayload.description | security_result.description | 「jsonPayload.reason」が空の場合、直接マッピングされます。 |
| jsonPayload.host | principal.hostname | 直接マッピング。 |
| jsonPayload.hostgroup | target.group.group_display_name | 直接マッピング。 |
| jsonPayload.hostid | target.asset_id | 「host id: %{jsonPayload.hostid}」としてマッピングされます。 |
| jsonPayload.hostip | target.ip | 直接マッピング。 |
| jsonPayload.image | target.file.full_path | 直接マッピング。 |
| jsonPayload.level | security_result.action | 「jsonPayload.level」が「success」の場合は、「ALLOW」に設定します。 |
| jsonPayload.reason | security_result.description | 直接マッピング。 |
| jsonPayload.rule | security_result.rule_name | 直接マッピング。 |
| jsonPayload.user | principal.user.userid | 直接マッピング。 |
| jsonPayload.vm_location | target.asset.location.name | 直接マッピング。 |
| jsonPayload.vm_name | target.resource.name | 直接マッピング。 |
| resource.labels.instance_id | target.resource.id | 直接マッピング。 |
| resource.labels.project_id | target.asset.attribute.cloud.project.id | 直接マッピング。 |
| resource.labels.zone | target.asset.attribute.cloud.availability_zone | 直接マッピング。 |
| タイムスタンプ | metadata.event_timestamp | ISO8601 形式に変換した後に直接マッピングされます。 |
| extensions.auth.type | 「jsonPayload.description」に「SAML」が含まれている場合は「SSO」に設定します。それ以外の場合は、「jsonPayload.action」が「login」または「Login」の場合は「AUTHTYPE_UNSPECIFIED」に設定します。 | |
| metadata.log_type | 「AQUA_SECURITY」に設定します。 | |
| metadata.product_name | 「AQUA_SECURITY」に設定します。 | |
| metadata.vendor_name | 「AQUA_SECURITY」に設定します。 | |
| target.asset.attribute.cloud.environment | 「GOOGLE_CLOUD_PLATFORM」に設定します。 | |
| target.resource.type | 「VIRTUAL_MACHINE」に設定します。 |
変更点
2024-10-10
- 機能強化:
- 新しいログのサポートを追加しました」