Azion-Firewall-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus JSON-Logs der Azion-Firewall, führt Datentypkonvertierungen und Datenanreicherungen durch (z. B. User-Agent-Parsing) und ordnet die extrahierten Felder dem UDM zu. Je nach Vorhandensein von Haupt- und Zielmaschinen werden NETWORK_HTTP-, SCAN_UNCATEGORIZED- oder GENERIC_EVENT-Ereignisse generiert. Außerdem werden WAF-bezogene Felder und Aktionen verarbeitet und den UDM-Sicherheitsergebnisfeldern zugeordnet.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für AWS IAM und S3.
  • Sie benötigen Berechtigungen für ein aktives Azion-Konto.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
  2. Notieren Sie sich den Namen und die Region des Buckets für später.
  3. Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Use Case Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen. Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für später.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
  18. Wählen Sie die Richtlinie aus.
  19. Klicken Sie auf Weiter.
  20. Klicken Sie auf Berechtigungen hinzufügen.

Azion für die kontinuierliche Protokollübermittlung an Amazon S3 konfigurieren

  1. Rufen Sie in der Azion-Konsole den Bereich DataStream auf.
  2. Klicken Sie auf + Stream.
  3. Geben Sie Werte für die folgenden Parameter an:
    • Name: Geben Sie einen eindeutigen und aussagekräftigen Namen für den Datenstream an.
    • Quelle: Wählen Sie die Quelle aus, aus der die Daten erfasst werden sollen.
    • Vorlage: Eine Voreinstellung von Variablen für bestimmte Quellen oder eine offene Vorlage, über die Variablen ausgewählt werden können. Sie haben die Möglichkeit, Domains zu filtern.
  4. Klicken Sie im Bereich Ziel auf Connector > Simple Storage Service (S3).
    • URL: der Bucket-URI. s3:/BUCKET_NAME. Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • Bucket-Name: Name des Buckets, an den das Objekt gesendet wird.
    • Region: Region, in der sich Ihr Bucket befindet.
    • Zugriffsschlüssel: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Key: Geheimer Nutzerschlüssel mit Zugriff auf den S3-Bucket.
    • Content Type (Inhaltstyp): Wählen Sie „plain/text“ aus.
  5. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter Daten mit Amazon S3 aus Data Stream empfangen.

Feed in Google SecOps für die Aufnahme der Azion-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Azion-Protokolle.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie „Azion“ als Protokolltyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI. s3:/BUCKET_NAME. Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI ist: Wählen Sie den URI-Typ entsprechend der Logstream-Konfiguration aus (Einzeldatei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
  • Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
  • Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
  • Asset-Namespace: der Asset-Namespace.
  • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
asn read_only_udm.network.asn Direkt aus dem Feld asn zugeordnet.
bytes_sent read_only_udm.network.sent_bytes Wird direkt aus dem Feld bytes_sent zugeordnet und in eine positive Ganzzahl konvertiert.
country read_only_udm.principal.location.country_or_region Direkt aus dem Feld country zugeordnet.
host read_only_udm.principal.hostname Direkt aus dem Feld host zugeordnet.
http_referer read_only_udm.network.http.referral_url Direkt aus dem Feld http_referer zugeordnet.
http_user_agent read_only_udm.network.http.user_agent Direkt aus dem Feld http_user_agent zugeordnet.
http_user_agent read_only_udm.network.http.parsed_user_agent Wird mit dem Filter parseduseragent aus dem Feld http_user_agent geparst.
read_only_udm.event_type Wird vom Parser anhand der Anwesenheit von principal- und target-Informationen bestimmt. Kann NETWORK_HTTP, SCAN_UNCATEGORIZED oder GENERIC_EVENT sein.
read_only_udm.metadata.product_name Hartcodiert auf "AZION".
read_only_udm.metadata.vendor_name Hartcodiert auf "AZION".
read_only_udm.metadata.product_version Hartcodiert auf "AZION".
remote_addr read_only_udm.principal.ip Direkt aus dem Feld remote_addr zugeordnet.
remote_port read_only_udm.principal.port Direkt aus dem Feld remote_port zugeordnet, in Ganzzahl konvertiert.
requestPath read_only_udm.target.url Wird direkt aus dem Feld requestPath zugeordnet, wenn request_uri nicht vorhanden ist.
request_method read_only_udm.network.http.method Wird direkt aus dem Feld request_method zugeordnet und in Großbuchstaben konvertiert.
request_time read_only_udm.additional.fields Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel „request_time“ und dem Wert aus dem Feld request_time hinzugefügt.
request_uri read_only_udm.target.url Wird direkt aus dem Feld request_uri zugeordnet, sofern vorhanden.
server_addr read_only_udm.target.ip Direkt aus dem Feld server_addr zugeordnet.
server_port read_only_udm.target.port Direkt aus dem Feld server_port zugeordnet, in Ganzzahl konvertiert.
ssl_cipher read_only_udm.network.tls.cipher Direkt aus dem Feld ssl_cipher zugeordnet.
ssl_protocol read_only_udm.network.tls.version_protocol Direkt aus dem Feld ssl_protocol zugeordnet.
ssl_server_name read_only_udm.network.tls.client.server_name Direkt aus dem Feld ssl_server_name zugeordnet.
state read_only_udm.principal.location.state Direkt aus dem Feld state zugeordnet.
status read_only_udm.network.http.response_code Direkt aus dem Feld status zugeordnet, in Ganzzahl konvertiert.
time read_only_udm.metadata.event_timestamp Aus dem Feld time mithilfe eines Datumsfilters und mehrerer Datumsformate geparst.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Wird mithilfe von Grok aus dem Feld upstream_addr extrahiert und in IP und Port aufgeteilt.
upstream_status read_only_udm.additional.fields Wird dem Array additional.fields als Schlüssel/Wert-Paar mit dem Schlüssel upstream_status und dem Wert aus dem Feld upstream_status hinzugefügt.
waf_args read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_attack_action read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_attack_family read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_headers read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_learning read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_match read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_score read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_server read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_total_blocked read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_total_processed read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
waf_uri read_only_udm.security_result.detection_fields Wird dem Array security_result.detection_fields als Schlüssel/Wert-Paar hinzugefügt.
read_only_udm.security_result.action Wird vom Parser anhand der Felder waf_block oder blocked bestimmt. Wählen Sie ZULASSEN oder BLOCKIEREN aus.

Änderungen

2023-09-30

  • Neu erstellter Parser.