Azion ファイアウォール ログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、Azion ファイアウォールの JSON ログからフィールドを抽出し、データ型の変換と拡充(ユーザー エージェントの解析など)を行い、抽出されたフィールドを UDM にマッピングします。プリンシパルとターゲット マシンの存在に基づいて、NETWORK_HTTP、SCAN_UNCATEGORIZED、または GENERIC_EVENT イベントが生成されます。また、WAF 関連のフィールドとアクションを処理し、UDM セキュリティ結果フィールドにマッピングします。
始める前に
- Google SecOps インスタンスがあることを確認します。
- AWS IAM と S3 に対する特権アクセス権があることを確認します。
- 有効な Azion アカウントへの特権アクセス権があることを確認します。
Amazon S3 バケットを構成する
- バケットを作成するのユーザーガイドに沿って、Amazon S3 バケットを作成します。
- バケットの名前とリージョンを保存して、後で参照できるようにします。
- IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成したユーザーを選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] として [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [Create access key] をクリックします。
- [Download .csv file] をクリックします。(アクセスキーとシークレット アクセスキーを保存して、後で参照できるようにします)。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションの [権限を追加] をクリックします。
- [権限を追加] を選択します。
- [Attach policies directly] を選択します。
- AmazonS3FullAccess ポリシーを検索します。
- ポリシーを選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
Amazon S3 へのログの継続的な配信用に Azion を構成する
- Azion コンソールで、[DataStream] セクションに移動します。
- [+ ストリーム] をクリックします。
- 次のパラメータの値を指定します。
- 名前: データ ストリームを一意に識別するわかりやすい名前を指定します。
- ソース: データを収集するソースを選択します。
- テンプレート: 特定のソース用の変数のプリセット、または変数を選択できるオープン テンプレート。ドメインをフィルタすることもできます。
- [宛先] セクションで、[コネクタ] > [Simple Storage Service(S3)] をクリックします。
- URL: バケット URI。
s3:/BUCKET_NAME次のように置き換えます。BUCKET_NAME: バケットの名前。
- バケット名: オブジェクトが送信されるバケットの名前。
- リージョン: バケットが配置されているリージョン。
- アクセスキー: s3 バケットにアクセスできるユーザー アクセスキー。
- シークレット キー: s3 バケットにアクセスできるユーザー シークレット キー。
- コンテンツ タイプ: プレーンテキストを選択します。
- URL: バケット URI。
- [保存] をクリックします。
詳細については、Amazon S3 を使用して Data Stream からデータを受信する方法をご覧ください。
Azion ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Azion ログ)。
- [ソースタイプ] として [Amazon S3] を選択します。
- [ログタイプ] として Azion を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケットの URI。
s3:/BUCKET_NAME次のように置き換えます。BUCKET_NAME: バケットの名前。
- URI is a: ログストリームの構成に応じて URI タイプを選択します(単一ファイル | ディレクトリ | サブディレクトリを含むディレクトリ)。
- ソース削除オプション: 必要に応じて削除オプションを選択します。
- Access Key ID: s3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: s3 バケットにアクセスできるユーザーの秘密鍵。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
asn |
read_only_udm.network.asn |
asn フィールドから直接マッピングされます。 |
bytes_sent |
read_only_udm.network.sent_bytes |
bytes_sent フィールドから直接マッピングされ、符号なし整数に変換されます。 |
country |
read_only_udm.principal.location.country_or_region |
country フィールドから直接マッピングされます。 |
host |
read_only_udm.principal.hostname |
host フィールドから直接マッピングされます。 |
http_referer |
read_only_udm.network.http.referral_url |
http_referer フィールドから直接マッピングされます。 |
http_user_agent |
read_only_udm.network.http.user_agent |
http_user_agent フィールドから直接マッピングされます。 |
http_user_agent |
read_only_udm.network.http.parsed_user_agent |
parseduseragent フィルタを使用して http_user_agent フィールドから解析されます。 |
read_only_udm.event_type |
principal 情報と target 情報の有無に基づいてパーサーによって決定されます。NETWORK_HTTP、SCAN_UNCATEGORIZED、GENERIC_EVENT のいずれかです。 |
|
read_only_udm.metadata.product_name |
「AZION」にハードコードされています。 | |
read_only_udm.metadata.vendor_name |
「AZION」にハードコードされています。 | |
read_only_udm.metadata.product_version |
「AZION」にハードコードされています。 | |
remote_addr |
read_only_udm.principal.ip |
remote_addr フィールドから直接マッピングされます。 |
remote_port |
read_only_udm.principal.port |
remote_port フィールドから直接マッピングされ、整数に変換されます。 |
requestPath |
read_only_udm.target.url |
request_uri が存在しない場合、requestPath フィールドから直接マッピングされます。 |
request_method |
read_only_udm.network.http.method |
request_method フィールドから直接マッピングされ、大文字に変換されます。 |
request_time |
read_only_udm.additional.fields |
additional.fields 配列に Key-Value ペアとして追加されます。キーは "request_time"、値は request_time フィールドの値です。 |
request_uri |
read_only_udm.target.url |
request_uri フィールドから直接マッピングされます(存在する場合)。 |
server_addr |
read_only_udm.target.ip |
server_addr フィールドから直接マッピングされます。 |
server_port |
read_only_udm.target.port |
server_port フィールドから直接マッピングされ、整数に変換されます。 |
ssl_cipher |
read_only_udm.network.tls.cipher |
ssl_cipher フィールドから直接マッピングされます。 |
ssl_protocol |
read_only_udm.network.tls.version_protocol |
ssl_protocol フィールドから直接マッピングされます。 |
ssl_server_name |
read_only_udm.network.tls.client.server_name |
ssl_server_name フィールドから直接マッピングされます。 |
state |
read_only_udm.principal.location.state |
state フィールドから直接マッピングされます。 |
status |
read_only_udm.network.http.response_code |
status フィールドから直接マッピングされ、整数に変換されます。 |
time |
read_only_udm.metadata.event_timestamp |
日付フィルタと複数の日付形式を使用して time フィールドから解析されます。 |
upstream_addr |
read_only_udm.intermediary.ip、read_only_udm.intermediary.port |
grok を使用して upstream_addr フィールドから抽出され、IP とポートに分割されます。 |
upstream_status |
read_only_udm.additional.fields |
additional.fields 配列に Key-Value ペアとして追加されます。キーは "upstream_status"、値は upstream_status フィールドの値です。 |
waf_args |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_attack_action |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_attack_family |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_headers |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_learning |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_match |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_score |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_server |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_total_blocked |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_total_processed |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
waf_uri |
read_only_udm.security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加されました。 |
read_only_udm.security_result.action |
waf_block フィールドまたは blocked フィールドに基づいてパーサーによって決定されます。[許可] または [ブロック] に設定します。 |
変更点
2023-09-30
- 新しく作成されたパーサー。