Collecter les journaux de pare-feu Azion

Compatible avec:

Présentation

Cet analyseur extrait des champs des journaux JSON du pare-feu Azion, effectue des conversions et un enrichissement de type de données (par exemple, l'analyse de l'agent utilisateur) et mappe les champs extraits sur l'UDM. Il génère des événements NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT en fonction de la présence des machines principales et cibles. Il gère également les champs et les actions liés au WAF, en les mappant sur les champs de résultats de sécurité de l'UDM.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS IAM et S3.
  • Assurez-vous de disposer d'un accès privilégié à un compte Azion actif.

Configurer le bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur: Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif: ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier .csv. (Enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure).
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez la règle AmazonS3FullAccess.
  18. Sélectionnez la règle.
  19. Cliquez sur Suivant.
  20. Cliquez sur Ajouter des autorisations.

Configurer Azion pour l'envoi continu de journaux vers Amazon S3

  1. Dans la console Azion, accédez à la section DataStream.
  2. Cliquez sur + Diffuser.
  3. Spécifiez les valeurs des paramètres suivants :
    • Nom: indiquez un nom unique et descriptif pour identifier le flux de données.
    • Source: sélectionnez la source à partir de laquelle collecter les données.
    • Modèle: ensemble prédéfini de variables pour des sources spécifiques ou modèle ouvert permettant de choisir des variables. Vous pouvez filtrer les domaines.
  4. Dans la section Destination, cliquez sur Connecteur > Simple Storage Service (S3).
    • URL: URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • Nom du bucket: nom du bucket auquel l'objet sera envoyé.
    • Région: région dans laquelle se trouve votre bucket.
    • Clé d'accès: clé d'accès utilisateur permettant d'accéder au bucket S3.
    • Clé secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
    • Type de contenu: sélectionnez "texte brut".
  5. Cliquez sur Enregistrer.

Pour en savoir plus, consultez Utiliser Amazon S3 pour recevoir des données de Data Stream.

Configurer un flux dans Google SecOps pour ingérer les journaux Azion

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Azion).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez Azion comme type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3: URI du bucket. s3:/BUCKET_NAME. Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • L'URI est: sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Single file (Fichier unique) | Directory (Répertoire) | Directory which includes subdirectories (Répertoire incluant des sous-répertoires)).
    • Options de suppression de la source: sélectionnez l'option de suppression de votre choix.
  • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
  • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
  • Espace de noms des éléments: espace de noms des éléments.
  • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.
  • Cliquez sur Suivant.
  • Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
asn read_only_udm.network.asn Mappé directement à partir du champ asn.
bytes_sent read_only_udm.network.sent_bytes Mappé directement à partir du champ bytes_sent, converti en entier non signé.
country read_only_udm.principal.location.country_or_region Mappé directement à partir du champ country.
host read_only_udm.principal.hostname Mappé directement à partir du champ host.
http_referer read_only_udm.network.http.referral_url Mappé directement à partir du champ http_referer.
http_user_agent read_only_udm.network.http.user_agent Mappé directement à partir du champ http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Extrait du champ http_user_agent à l'aide du filtre parseduseragent.
read_only_udm.event_type Déterminé par l'analyseur en fonction de la présence d'informations principal et target. Peut être NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Code codé en dur sur "AZION".
read_only_udm.metadata.vendor_name Code codé en dur sur "AZION".
read_only_udm.metadata.product_version Code codé en dur sur "AZION".
remote_addr read_only_udm.principal.ip Mappé directement à partir du champ remote_addr.
remote_port read_only_udm.principal.port Mappé directement à partir du champ remote_port, converti en entier.
requestPath read_only_udm.target.url Mappé directement à partir du champ requestPath si request_uri n'est pas présent.
request_method read_only_udm.network.http.method Mappé directement à partir du champ request_method, converti en majuscules.
request_time read_only_udm.additional.fields Ajouté en tant que paire clé-valeur au tableau additional.fields, avec la clé "request_time" et la valeur du champ request_time.
request_uri read_only_udm.target.url Mappé directement à partir du champ request_uri, le cas échéant.
server_addr read_only_udm.target.ip Mappé directement à partir du champ server_addr.
server_port read_only_udm.target.port Mappé directement à partir du champ server_port, converti en entier.
ssl_cipher read_only_udm.network.tls.cipher Mappé directement à partir du champ ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mappé directement à partir du champ ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mappé directement à partir du champ ssl_server_name.
state read_only_udm.principal.location.state Mappé directement à partir du champ state.
status read_only_udm.network.http.response_code Mappé directement à partir du champ status, converti en entier.
time read_only_udm.metadata.event_timestamp Extrait du champ time à l'aide d'un filtre de date et de plusieurs formats de date.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extrait du champ upstream_addr à l'aide de grok, divisé en adresse IP et port.
upstream_status read_only_udm.additional.fields Ajouté en tant que paire clé-valeur au tableau additional.fields, avec la clé "upstream_status" et la valeur du champ upstream_status.
waf_args read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Ajouté en tant que paire clé-valeur au tableau security_result.detection_fields.
read_only_udm.security_result.action Déterminé par l'analyseur en fonction des champs waf_block ou blocked. Définissez cette valeur sur ALLOW (AUTORISER) ou BLOCK (BLOQUER).

Modifications

2023-09-30

  • Analyseur nouvellement créé.