Coletar registros do Aqua Security

Compatível com:

Visão geral

Esse analisador extrai campos dos registros do Aqua Security e os transforma no modelo de dados unificado (UDM). Ele analisa o campo message como JSON, extrai o usuário, o IP de origem e outros campos relevantes, os mapeia para campos do UDM e categoriza eventos com base no campo action, enriquecendo os dados com contexto de segurança, como nomes de regras, descrições e detalhes de CVE.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao console de gerenciamento do Aqua Security.

Configure um feed no Google SecOps para processar os registros do Aqua Security

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Aqua Security Logs).
  4. Selecione Webhook como o Tipo de origem.
  5. Selecione Aqua Security como o Tipo de registro.
  6. Clique em Próxima.
  7. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
  11. Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook

  1. Acesse Console do Google Cloud > Credenciais.

    Ir para Credenciais

  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Chronicle.

Especificar o URL do endpoint

  1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
  2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.

  3. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    Substitua:

    • ENDPOINT_URL: o URL do endpoint do feed.
    • API_KEY: a chave de API para autenticação no Google SecOps.
    • SECRET: a chave secreta que você gerou para autenticar o feed.

Criar um webhook no Aqua Security para o Google SecOps

  1. Faça login no console da Aqua Security.
  2. Acesse Configurações > Webhook de resultados de verificação de imagem.
  3. Marque a caixa de seleção Ativar o envio de resultados de verificação de imagem.
  4. Insira <ENDPOINT_URL>, seguido por <API_KEY> e <SECRET>.
  5. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro (em ordem crescente) Mapeamento do UDM Lógica
jsonPayload.action metadata.event_type Mapeado com base no valor de "jsonPayload.action". Consulte o código do analisador para mapeamentos específicos.
jsonPayload.action security_result.summary Mapeado diretamente.
jsonPayload.adjective target.file.full_path Mapeado diretamente se "jsonPayload.container" estiver vazio.
jsonPayload.category target.asset.category Mapeado diretamente.
jsonPayload.cfappname target.application Mapeado diretamente.
jsonPayload.cfspace principal.user.userid Mapeado diretamente se "jsonPayload.user" estiver vazio.
jsonPayload.command principal.ip Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.command principal.user.userid Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.container target.asset.product_object_id Mapeado diretamente.
jsonPayload.data security_result.detection_fields Analisado como pares de chave-valor e mapeado para campos individuais em "security_result.detection_fields".
jsonPayload.description security_result.description Mapeado diretamente se "jsonPayload.reason" estiver vazio.
jsonPayload.host principal.hostname Mapeado diretamente.
jsonPayload.hostgroup target.group.group_display_name Mapeado diretamente.
jsonPayload.hostid target.asset_id Mapeado como "host id: %{jsonPayload.hostid}".
jsonPayload.hostip target.ip Mapeado diretamente.
jsonPayload.image target.file.full_path Mapeado diretamente.
jsonPayload.level security_result.action Defina como "ALLOW" se "jsonPayload.level" for "success".
jsonPayload.reason security_result.description Mapeado diretamente.
jsonPayload.rule security_result.rule_name Mapeado diretamente.
jsonPayload.user principal.user.userid Mapeado diretamente.
jsonPayload.vm_location target.asset.location.name Mapeado diretamente.
jsonPayload.vm_name target.resource.name Mapeado diretamente.
resource.labels.instance_id target.resource.id Mapeado diretamente.
resource.labels.project_id target.asset.attribute.cloud.project.id Mapeado diretamente.
resource.labels.zone target.asset.attribute.cloud.availability_zone Mapeado diretamente.
timestamp metadata.event_timestamp Mapeado diretamente após a conversão para o formato ISO8601.
extensions.auth.type Defina como "SSO" se "jsonPayload.description" contiver "SAML". Caso contrário, defina como "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" for "login" ou "Login".
metadata.log_type Defina como "AQUA_SECURITY".
metadata.product_name Defina como "AQUA_SECURITY".
metadata.vendor_name Defina como "AQUA_SECURITY".
target.asset.attribute.cloud.environment Defina como "GOOGLE_CLOUD_PLATFORM".
target.resource.type Defina como "VIRTUAL_MACHINE".

Alterações

2024-10-10

  • Melhoria:
  • Adição de suporte aos novos registros.