Coletar registros do Aqua Security
Visão geral
Esse analisador extrai campos dos registros do Aqua Security e os transforma no modelo de dados unificado (UDM). Ele analisa o campo message
como JSON, extrai o usuário, o IP de origem e outros campos relevantes, os mapeia para campos do UDM e categoriza eventos com base no campo action
, enriquecendo os dados com contexto de segurança, como nomes de regras, descrições e detalhes de CVE.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao console de gerenciamento do Aqua Security.
Configure um feed no Google SecOps para processar os registros do Aqua Security
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Aqua Security Logs).
- Selecione Webhook como o Tipo de origem.
- Selecione Aqua Security como o Tipo de registro.
- Clique em Próxima.
- Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
\n
. - Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
- Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
- Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook
Acesse Console do Google Cloud > Credenciais.
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Chronicle.
Especificar o URL do endpoint
- No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.
Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Substitua:
ENDPOINT_URL
: o URL do endpoint do feed.API_KEY
: a chave de API para autenticação no Google SecOps.SECRET
: a chave secreta que você gerou para autenticar o feed.
Criar um webhook no Aqua Security para o Google SecOps
- Faça login no console da Aqua Security.
- Acesse Configurações > Webhook de resultados de verificação de imagem.
- Marque a caixa de seleção Ativar o envio de resultados de verificação de imagem.
- Insira
<ENDPOINT_URL>
, seguido por<API_KEY>
e<SECRET>
. - Clique em Salvar.
Tabela de mapeamento do UDM
Campo de registro (em ordem crescente) | Mapeamento do UDM | Lógica |
---|---|---|
jsonPayload.action | metadata.event_type | Mapeado com base no valor de "jsonPayload.action". Consulte o código do analisador para mapeamentos específicos. |
jsonPayload.action | security_result.summary | Mapeado diretamente. |
jsonPayload.adjective | target.file.full_path | Mapeado diretamente se "jsonPayload.container" estiver vazio. |
jsonPayload.category | target.asset.category | Mapeado diretamente. |
jsonPayload.cfappname | target.application | Mapeado diretamente. |
jsonPayload.cfspace | principal.user.userid | Mapeado diretamente se "jsonPayload.user" estiver vazio. |
jsonPayload.command | principal.ip | Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)". |
jsonPayload.command | principal.user.userid | Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)". |
jsonPayload.container | target.asset.product_object_id | Mapeado diretamente. |
jsonPayload.data | security_result.detection_fields | Analisado como pares de chave-valor e mapeado para campos individuais em "security_result.detection_fields". |
jsonPayload.description | security_result.description | Mapeado diretamente se "jsonPayload.reason" estiver vazio. |
jsonPayload.host | principal.hostname | Mapeado diretamente. |
jsonPayload.hostgroup | target.group.group_display_name | Mapeado diretamente. |
jsonPayload.hostid | target.asset_id | Mapeado como "host id: %{jsonPayload.hostid}". |
jsonPayload.hostip | target.ip | Mapeado diretamente. |
jsonPayload.image | target.file.full_path | Mapeado diretamente. |
jsonPayload.level | security_result.action | Defina como "ALLOW" se "jsonPayload.level" for "success". |
jsonPayload.reason | security_result.description | Mapeado diretamente. |
jsonPayload.rule | security_result.rule_name | Mapeado diretamente. |
jsonPayload.user | principal.user.userid | Mapeado diretamente. |
jsonPayload.vm_location | target.asset.location.name | Mapeado diretamente. |
jsonPayload.vm_name | target.resource.name | Mapeado diretamente. |
resource.labels.instance_id | target.resource.id | Mapeado diretamente. |
resource.labels.project_id | target.asset.attribute.cloud.project.id | Mapeado diretamente. |
resource.labels.zone | target.asset.attribute.cloud.availability_zone | Mapeado diretamente. |
timestamp | metadata.event_timestamp | Mapeado diretamente após a conversão para o formato ISO8601. |
extensions.auth.type | Defina como "SSO" se "jsonPayload.description" contiver "SAML". Caso contrário, defina como "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" for "login" ou "Login". | |
metadata.log_type | Defina como "AQUA_SECURITY". | |
metadata.product_name | Defina como "AQUA_SECURITY". | |
metadata.vendor_name | Defina como "AQUA_SECURITY". | |
target.asset.attribute.cloud.environment | Defina como "GOOGLE_CLOUD_PLATFORM". | |
target.resource.type | Defina como "VIRTUAL_MACHINE". |
Alterações
2024-10-10
- Melhoria:
- Adição de suporte aos novos registros.