Mengumpulkan log firewall Azion

Didukung di:

Ringkasan

Parser ini mengekstrak kolom dari log JSON firewall Azion, melakukan konversi dan pengayaan jenis data (misalnya, penguraian agen pengguna), dan memetakan kolom yang diekstrak ke UDM. Peristiwa ini menghasilkan peristiwa NETWORK_HTTP, SCAN_UNCATEGORIZED, atau GENERIC_EVENT berdasarkan keberadaan mesin utama dan target. API ini juga menangani kolom dan tindakan terkait WAF, yang memetakan kolom tersebut ke kolom hasil keamanan UDM.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS IAM dan S3.
  • Pastikan Anda memiliki akses dengan hak istimewa ke akun Azion yang aktif.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
  2. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file .csv. (Simpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang).
  12. Klik Done.
  13. Pilih tab Permissions.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri kebijakan AmazonS3FullAccess.
  18. Pilih kebijakan.
  19. Klik Berikutnya.
  20. Klik Tambahkan izin.

Mengonfigurasi Azion untuk pengiriman log berkelanjutan ke Amazon S3

  1. Di konsol Azion, buka bagian DataStream.
  2. Klik + Streaming.
  3. Tentukan nilai untuk parameter berikut:
    • Name: Berikan nama unik dan deskriptif untuk mengidentifikasi aliran data.
    • Sumber: Pilih sumber untuk mengumpulkan data.
    • Template: Setelan default variabel untuk sumber tertentu atau template terbuka untuk memilih variabel. Anda memiliki opsi untuk memfilter domain.
  4. Di bagian Destination, klik Connector > Simple Storage Service (S3).
    • URL: URI bucket. s3:/BUCKET_NAME. Ganti kode berikut:
      • BUCKET_NAME: nama bucket.
    • Nama Bucket: Nama bucket tempat objek akan dikirim.
    • Region: Region tempat bucket Anda berada.
    • Kunci Akses: Kunci akses pengguna dengan akses ke bucket s3.
    • Kunci Rahasia: Kunci rahasia pengguna dengan akses ke bucket s3.
    • Jenis Konten: Pilih biasa/teks.
  5. Klik Simpan.

Untuk informasi selengkapnya, lihat Cara menggunakan Amazon S3 untuk menerima data dari Aliran Data

Mengonfigurasi feed di Google SecOps untuk menyerap log Azion

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, Azion Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih Azion sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket. s3:/BUCKET_NAME. Ganti kode berikut:
      • BUCKET_NAME: nama bucket.
    • URI adalah: pilih jenis URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
  • Secret Access Key: Kunci rahasia Pengguna dengan akses ke bucket s3.
  • Namespace aset: namespace aset.
  • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
  • Klik Berikutnya.
  • Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
asn read_only_udm.network.asn Dipetakan langsung dari kolom asn.
bytes_sent read_only_udm.network.sent_bytes Dipetakan langsung dari kolom bytes_sent, yang dikonversi menjadi bilangan bulat tanpa tanda tangan.
country read_only_udm.principal.location.country_or_region Dipetakan langsung dari kolom country.
host read_only_udm.principal.hostname Dipetakan langsung dari kolom host.
http_referer read_only_udm.network.http.referral_url Dipetakan langsung dari kolom http_referer.
http_user_agent read_only_udm.network.http.user_agent Dipetakan langsung dari kolom http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Diurai dari kolom http_user_agent menggunakan filter parseduseragent.
read_only_udm.event_type Ditentukan oleh parser berdasarkan keberadaan informasi principal dan target. Dapat berupa NETWORK_HTTP, SCAN_UNCATEGORIZED, atau GENERIC_EVENT.
read_only_udm.metadata.product_name Di-hardcode ke "AZION".
read_only_udm.metadata.vendor_name Di-hardcode ke "AZION".
read_only_udm.metadata.product_version Di-hardcode ke "AZION".
remote_addr read_only_udm.principal.ip Dipetakan langsung dari kolom remote_addr.
remote_port read_only_udm.principal.port Dipetakan langsung dari kolom remote_port, yang dikonversi menjadi bilangan bulat.
requestPath read_only_udm.target.url Dipetakan langsung dari kolom requestPath jika request_uri tidak ada.
request_method read_only_udm.network.http.method Dipetakan langsung dari kolom request_method, dikonversi ke huruf besar.
request_time read_only_udm.additional.fields Ditambahkan sebagai pasangan nilai kunci ke array additional.fields, dengan kunci "request_time" dan nilai dari kolom request_time.
request_uri read_only_udm.target.url Dipetakan langsung dari kolom request_uri jika ada.
server_addr read_only_udm.target.ip Dipetakan langsung dari kolom server_addr.
server_port read_only_udm.target.port Dipetakan langsung dari kolom server_port, yang dikonversi menjadi bilangan bulat.
ssl_cipher read_only_udm.network.tls.cipher Dipetakan langsung dari kolom ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Dipetakan langsung dari kolom ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Dipetakan langsung dari kolom ssl_server_name.
state read_only_udm.principal.location.state Dipetakan langsung dari kolom state.
status read_only_udm.network.http.response_code Dipetakan langsung dari kolom status, yang dikonversi menjadi bilangan bulat.
time read_only_udm.metadata.event_timestamp Diurai dari kolom time menggunakan filter tanggal dan beberapa format tanggal.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Diekstrak dari kolom upstream_addr menggunakan grok, yang dibagi menjadi IP dan port.
upstream_status read_only_udm.additional.fields Ditambahkan sebagai pasangan nilai kunci ke array additional.fields, dengan kunci "upstream_status" dan nilai dari kolom upstream_status.
waf_args read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields.
read_only_udm.security_result.action Ditentukan oleh parser berdasarkan kolom waf_block atau blocked. Tetapkan ke Izinkan atau Blokir.

Perubahan

2023-09-30

  • Parser yang baru dibuat.