이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Aqua Security 로그 수집

다음에서 지원:

Google SecOps SIEM

개요

이 파서는 Aqua Security 로그에서 필드를 추출하여 통합 데이터 모델 (UDM)로 변환합니다. message 필드를 JSON으로 파싱하고 사용자, 소스 IP, 기타 관련 필드를 추출하여 UDM 필드에 매핑하고 action 필드를 기반으로 이벤트를 분류하여 규칙 이름, 설명, CVE 세부정보와 같은 보안 컨텍스트로 데이터를 보강합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
Aqua Security 관리 콘솔에 대한 액세스 권한이 있어야 합니다.

Aqua Security 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다 (예: Aqua Security Logs).
소스 유형으로 Webhook을 선택합니다.
로그 유형으로 Aqua Security를 선택합니다.
다음을 클릭합니다.
선택사항: 다음 입력 파라미터의 값을 지정합니다.
- 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예: \n).
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
다음을 클릭합니다.
확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
비밀 키를 복사하여 저장합니다. 이 보안 비밀 키는 다시 볼 수 없습니다. 필요한 경우 새 보안 비밀 키를 재생성할 수 있지만 이 작업을 하면 이전 보안 비밀 키는 더 이상 사용할 수 없게 됩니다.
세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. 클라이언트 애플리케이션에서 이 엔드포인트 URL을 지정해야 합니다.
완료를 클릭합니다.

웹훅 피드에 대한 API 키 만들기

Google Cloud 콘솔 > 사용자 인증 정보로 이동합니다.

사용자 인증 정보로 이동
사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
Chronicle API에 대한 API 키 액세스를 제한합니다.

엔드포인트 URL 지정

클라이언트 애플리케이션에서 웹훅 피드에 제공된 HTTPS 엔드포인트 URL을 지정합니다.
다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다.
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
권장사항: API 키를 URL에 지정하는 대신 헤더로 지정하세요.
웹훅 클라이언트가 커스텀 헤더를 지원하지 않는 경우 다음 형식의 쿼리 매개변수를 사용하여 API 키와 보안 비밀 키를 지정할 수 있습니다.
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
다음을 바꿉니다.
- ENDPOINT_URL: 피드 엔드포인트 URL입니다.
- API_KEY: Google SecOps에 인증하기 위한 API 키입니다.
- SECRET: 피드를 인증하기 위해 생성한 보안 비밀 키입니다.

Google SecOps를 위해 Aqua Security에서 Webhook 만들기

Aqua Security 콘솔에 로그인합니다.
설정 > 이미지 스캔 결과 웹훅으로 이동합니다.
이미지 스캔 결과 전송 사용 설정 체크박스를 선택합니다.
<ENDPOINT_URL>를 입력한 다음 <API_KEY> 및 <SECRET>를 입력합니다.
저장을 클릭합니다.

UDM 매핑 표

로그 필드 (오름차순)	UDM 매핑	논리
jsonPayload.action	metadata.event_type	'jsonPayload.action' 값을 기반으로 매핑됩니다. 특정 매핑은 파서 코드를 참고하세요.
jsonPayload.action	security_result.summary	직접 매핑됩니다.
jsonPayload.adjective	target.file.full_path	'jsonPayload.container'가 비어 있으면 직접 매핑됩니다.
jsonPayload.category	target.asset.category	직접 매핑됩니다.
jsonPayload.cfappname	target.application	직접 매핑됩니다.
jsonPayload.cfspace	principal.user.userid	'jsonPayload.user'가 비어 있으면 직접 매핑됩니다.
jsonPayload.command	principal.ip	grok 패턴 'user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)'를 사용하여 추출되었습니다.
jsonPayload.command	principal.user.userid	grok 패턴 'user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)'를 사용하여 추출되었습니다.
jsonPayload.container	target.asset.product_object_id	직접 매핑됩니다.
jsonPayload.data	security_result.detection_fields	키-값 쌍으로 파싱되고 'security_result.detection_fields' 내의 개별 필드에 매핑됩니다.
jsonPayload.description	security_result.description	'jsonPayload.reason'이 비어 있으면 직접 매핑됩니다.
jsonPayload.host	principal.hostname	직접 매핑됩니다.
jsonPayload.hostgroup	target.group.group_display_name	직접 매핑됩니다.
jsonPayload.hostid	target.asset_id	'host id: %{jsonPayload.hostid}'로 매핑됩니다.
jsonPayload.hostip	target.ip	직접 매핑됩니다.
jsonPayload.image	target.file.full_path	직접 매핑됩니다.
jsonPayload.level	security_result.action	'jsonPayload.level'이 'success'인 경우 'ALLOW'로 설정합니다.
jsonPayload.reason	security_result.description	직접 매핑됩니다.
jsonPayload.rule	security_result.rule_name	직접 매핑됩니다.
jsonPayload.user	principal.user.userid	직접 매핑됩니다.
jsonPayload.vm_location	target.asset.location.name	직접 매핑됩니다.
jsonPayload.vm_name	target.resource.name	직접 매핑됩니다.
resource.labels.instance_id	target.resource.id	직접 매핑됩니다.
resource.labels.project_id	target.asset.attribute.cloud.project.id	직접 매핑됩니다.
resource.labels.zone	target.asset.attribute.cloud.availability_zone	직접 매핑됩니다.
타임스탬프	metadata.event_timestamp	ISO8601 형식으로 변환한 후 직접 매핑됩니다.
	extensions.auth.type	'jsonPayload.description'에 'SAML'이 포함된 경우 'SSO'로 설정하고, 'jsonPayload.action'이 'login' 또는 'Login'인 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다.
	metadata.log_type	'AQUA_SECURITY'로 설정합니다.
	metadata.product_name	'AQUA_SECURITY'로 설정합니다.
	metadata.vendor_name	'AQUA_SECURITY'로 설정합니다.
	target.asset.attribute.cloud.environment	'GOOGLE_CLOUD_PLATFORM'으로 설정합니다.
	target.resource.type	'VIRTUAL_MACHINE'으로 설정합니다.

변경사항

2024-10-10

개선사항:
새 로그 지원을 추가했습니다.'