Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Aqua Security

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador extrai campos dos registros do Aqua Security e os transforma no modelo de dados unificado (UDM). Ele analisa o campo message como JSON, extrai o usuário, o IP de origem e outros campos relevantes, os mapeia para campos do UDM e categoriza eventos com base no campo action, enriquecendo os dados com contexto de segurança, como nomes de regras, descrições e detalhes de CVE.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você tem acesso privilegiado ao console de gerenciamento do Aqua Security.

Configure um feed no Google SecOps para processar os registros do Aqua Security

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed (por exemplo, Aqua Security Logs).
Selecione Webhook como o Tipo de origem.
Selecione Aqua Security como o Tipo de registro.
Clique em Próxima.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
Clique em Concluído.

Criar uma chave de API para o feed de webhook

Acesse Console do Google Cloud > Credenciais.

Ir para Credenciais
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Chronicle.

Especificar o URL do endpoint

No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.
Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Substitua:
- ENDPOINT_URL: o URL do endpoint do feed.
- API_KEY: a chave de API para autenticação no Google SecOps.
- SECRET: a chave secreta que você gerou para autenticar o feed.

Criar um webhook no Aqua Security para o Google SecOps

Faça login no console da Aqua Security.
Acesse Configurações > Webhook de resultados de verificação de imagem.
Marque a caixa de seleção Ativar o envio de resultados de verificação de imagem.
Insira <ENDPOINT_URL>, seguido por <API_KEY> e <SECRET>.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro (em ordem crescente)	Mapeamento do UDM	Lógica
jsonPayload.action	metadata.event_type	Mapeado com base no valor de "jsonPayload.action". Consulte o código do analisador para mapeamentos específicos.
jsonPayload.action	security_result.summary	Mapeado diretamente.
jsonPayload.adjective	target.file.full_path	Mapeado diretamente se "jsonPayload.container" estiver vazio.
jsonPayload.category	target.asset.category	Mapeado diretamente.
jsonPayload.cfappname	target.application	Mapeado diretamente.
jsonPayload.cfspace	principal.user.userid	Mapeado diretamente se "jsonPayload.user" estiver vazio.
jsonPayload.command	principal.ip	Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.command	principal.user.userid	Extraídos usando o padrão grok "user %{GREEDYDATA:user_id} \(%{IP:src_ip}\)".
jsonPayload.container	target.asset.product_object_id	Mapeado diretamente.
jsonPayload.data	security_result.detection_fields	Analisado como pares de chave-valor e mapeado para campos individuais em "security_result.detection_fields".
jsonPayload.description	security_result.description	Mapeado diretamente se "jsonPayload.reason" estiver vazio.
jsonPayload.host	principal.hostname	Mapeado diretamente.
jsonPayload.hostgroup	target.group.group_display_name	Mapeado diretamente.
jsonPayload.hostid	target.asset_id	Mapeado como "host id: %{jsonPayload.hostid}".
jsonPayload.hostip	target.ip	Mapeado diretamente.
jsonPayload.image	target.file.full_path	Mapeado diretamente.
jsonPayload.level	security_result.action	Defina como "ALLOW" se "jsonPayload.level" for "success".
jsonPayload.reason	security_result.description	Mapeado diretamente.
jsonPayload.rule	security_result.rule_name	Mapeado diretamente.
jsonPayload.user	principal.user.userid	Mapeado diretamente.
jsonPayload.vm_location	target.asset.location.name	Mapeado diretamente.
jsonPayload.vm_name	target.resource.name	Mapeado diretamente.
resource.labels.instance_id	target.resource.id	Mapeado diretamente.
resource.labels.project_id	target.asset.attribute.cloud.project.id	Mapeado diretamente.
resource.labels.zone	target.asset.attribute.cloud.availability_zone	Mapeado diretamente.
timestamp	metadata.event_timestamp	Mapeado diretamente após a conversão para o formato ISO8601.
	extensions.auth.type	Defina como "SSO" se "jsonPayload.description" contiver "SAML". Caso contrário, defina como "AUTHTYPE_UNSPECIFIED" se "jsonPayload.action" for "login" ou "Login".
	metadata.log_type	Defina como "AQUA_SECURITY".
	metadata.product_name	Defina como "AQUA_SECURITY".
	metadata.vendor_name	Defina como "AQUA_SECURITY".
	target.asset.attribute.cloud.environment	Defina como "GOOGLE_CLOUD_PLATFORM".
	target.resource.type	Defina como "VIRTUAL_MACHINE".

Alterações

2024-10-10

Melhoria:
Adição de suporte aos novos registros.