Coletar registros de firewall do Azion

Compatível com:

Visão geral

Esse analisador extrai campos dos registros JSON do firewall do Azion, realiza conversões e enriquecimentos de tipos de dados (por exemplo, análise de user-agent) e mapeia os campos extraídos para o UDM. Ele gera eventos NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT com base na presença de máquinas principais e de destino. Ele também processa campos e ações relacionados ao WAF, mapeando-os para campos de resultados de segurança do UDM.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao AWS IAM e ao S3.
  • Verifique se você tem acesso privilegiado a uma conta ativa da Azion.

Configurar o bucket do Amazon S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para referência futura.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o Usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como Caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo .csv. Salve a Chave de acesso e a Chave de acesso secreta para referência futura.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise a política AmazonS3FullAccess.
  18. Selecione a política.
  19. Clique em Próxima.
  20. Clique em Adicionar permissões

Configurar o Azion para envio contínuo de registros ao Amazon S3

  1. No console do Azion, acesse a seção DataStream.
  2. Clique em + Stream.
  3. Especifique valores para os seguintes parâmetros:
    • Nome: informe um nome exclusivo e descritivo para identificar o fluxo de dados.
    • Origem: selecione a origem de onde os dados serão coletados.
    • Modelo: uma predefinição de variáveis para origens específicas ou um modelo aberto para escolher variáveis. Você tem a opção de filtrar domínios.
  4. Na seção Destino, clique em Conectores > Serviço de armazenamento simples (S3).
    • URL: o URI do bucket. s3:/BUCKET_NAME. Substitua:
      • BUCKET_NAME: o nome do bucket
    • Nome do bucket: nome do bucket para o qual o objeto será enviado.
    • Região: região em que seu bucket está localizado.
    • Chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave secreta: chave secreta do usuário com acesso ao bucket do S3.
    • Tipo de conteúdo: selecione "Simples/texto".
  5. Clique em Salvar.

Para mais informações, consulte Como usar o Amazon S3 para receber dados do Data Stream.

Configurar um feed no Google SecOps para processar os registros do Azion

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Azion Logs).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione Azion como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. s3:/BUCKET_NAME. Substitua:
      • BUCKET_NAME: o nome do bucket
    • URI é: selecione o tipo de URI de acordo com a configuração do fluxo de registro (Arquivo único | Diretório | Diretório que inclui subdiretórios).
    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
  • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
  • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
  • Namespace de recursos: o namespace de recursos.
  • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
  • Clique em Próxima.
  • Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
asn read_only_udm.network.asn Mapeado diretamente do campo asn.
bytes_sent read_only_udm.network.sent_bytes Mapeado diretamente do campo bytes_sent, convertido em número inteiro sem sinal.
country read_only_udm.principal.location.country_or_region Mapeado diretamente do campo country.
host read_only_udm.principal.hostname Mapeado diretamente do campo host.
http_referer read_only_udm.network.http.referral_url Mapeado diretamente do campo http_referer.
http_user_agent read_only_udm.network.http.user_agent Mapeado diretamente do campo http_user_agent.
http_user_agent read_only_udm.network.http.parsed_user_agent Analisado do campo http_user_agent usando o filtro parseduseragent.
read_only_udm.event_type Determinado pelo analisador com base na presença de informações principal e target. Pode ser NETWORK_HTTP, SCAN_UNCATEGORIZED ou GENERIC_EVENT.
read_only_udm.metadata.product_name Fixado em "AZION".
read_only_udm.metadata.vendor_name Fixado em "AZION".
read_only_udm.metadata.product_version Fixado em "AZION".
remote_addr read_only_udm.principal.ip Mapeado diretamente do campo remote_addr.
remote_port read_only_udm.principal.port Mapeado diretamente do campo remote_port, convertido em número inteiro.
requestPath read_only_udm.target.url Mapeado diretamente do campo requestPath se request_uri não estiver presente.
request_method read_only_udm.network.http.method Mapeado diretamente do campo request_method, convertido em letras maiúsculas.
request_time read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "request_time" e o valor do campo request_time.
request_uri read_only_udm.target.url Mapeado diretamente do campo request_uri, se presente.
server_addr read_only_udm.target.ip Mapeado diretamente do campo server_addr.
server_port read_only_udm.target.port Mapeado diretamente do campo server_port, convertido em número inteiro.
ssl_cipher read_only_udm.network.tls.cipher Mapeado diretamente do campo ssl_cipher.
ssl_protocol read_only_udm.network.tls.version_protocol Mapeado diretamente do campo ssl_protocol.
ssl_server_name read_only_udm.network.tls.client.server_name Mapeado diretamente do campo ssl_server_name.
state read_only_udm.principal.location.state Mapeado diretamente do campo state.
status read_only_udm.network.http.response_code Mapeado diretamente do campo status, convertido em número inteiro.
time read_only_udm.metadata.event_timestamp Analisado do campo time usando o filtro de data e vários formatos de data.
upstream_addr read_only_udm.intermediary.ip, read_only_udm.intermediary.port Extraídos do campo upstream_addr usando grok, dividindo em IP e porta.
upstream_status read_only_udm.additional.fields Adicionado como um par de chave-valor à matriz additional.fields, com a chave "upstream_status" e o valor do campo upstream_status.
waf_args read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_action read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_attack_family read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_headers read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_learning read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_match read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_score read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_server read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_blocked read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_total_processed read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
waf_uri read_only_udm.security_result.detection_fields Adicionado como um par de chave-valor à matriz security_result.detection_fields.
read_only_udm.security_result.action Determinado pelo analisador com base nos campos waf_block ou blocked. Defina como PERMITIR ou BLOQUEAR.

Alterações

2023-09-30

  • Parser recém-criado.