本頁面由 Cloud Translation API 翻譯而成。

收集 Azion 防火牆記錄

支援的國家/地區：

Google SecOps SIEM

總覽

這個剖析器會從 Azion 防火牆 JSON 記錄中擷取欄位、執行資料型別轉換和擴充 (例如剖析使用者代理程式)，並將擷取的欄位對應至 UDM。系統會根據主體和目標電腦是否存在，產生 NETWORK_HTTP、SCAN_UNCATEGORIZED 或 GENERIC_EVENT 事件。此外，這項服務也會處理 WAF 相關欄位和動作，並將這些欄位和動作對應至 UDM 安全性結果欄位。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
AWS IAM 和 S3 的特殊權限存取權。
有效 Azion 帳戶的特權存取權。

設定 Amazon S3 儲存貯體

按照這份使用者指南建立 Amazon S3 值區：建立值區。
儲存值區「名稱」和「區域」，以供日後參考。
請按照這份使用者指南建立使用者：建立 IAM 使用者。
選取建立的「使用者」。
選取「安全憑證」分頁標籤。
在「Access Keys」部分中，按一下「Create Access Key」。
選取「第三方服務」做為「用途」。
點選「下一步」。
選用：新增說明標記。
按一下「建立存取金鑰」。
按一下「下載 .csv 檔案」。(儲存「存取金鑰」和「私密存取金鑰」，以供日後參考)。
按一下 [完成]。
選取「權限」分頁標籤。
在「權限政策」部分中，按一下「新增權限」。
選取「新增權限」。
選取「直接附加政策」。
搜尋「AmazonS3FullAccess」AmazonS3FullAccess政策。
選取政策。
點選「下一步」。
按一下「Add permissions」。

設定 Azion，將記錄持續傳送至 Amazon S3

在 Azion 控制台中，前往「DataStream」DataStream部分。
按一下「+ 串流」。
指定下列參數的值：
- 名稱：提供容易識別且不重複的資料串流名稱。
- 來源：選取要收集資料的來源。
- 範本：特定來源的預設變數，或是可選擇變數的開放式範本。您可以選擇篩選網域。
在「目的地」部分，依序點選「連接器」>「Simple Storage Service (S3)」。
- URL：值區 URI。 s3:/BUCKET_NAME。取代下列項目：
  - BUCKET_NAME：值區名稱。
- 值區名稱：物件要傳送至的值區名稱。
- 區域：bucket 所在的區域。
- 存取金鑰：具有 S3 值區存取權的使用者存取金鑰。
- 私密金鑰：具有 S3 bucket 存取權的使用者私密金鑰。
- 內容類型：選取純文字。
按一下 [儲存]。

詳情請參閱「如何使用 Amazon S3 接收資料串流的資料」。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱 (例如「Azion Logs」)。
選取「Amazon S3 V2」做為「來源類型」。
選取「Azion」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- S3 URI：值區 URI。s3:/BUCKET_NAME。更改下列內容：
  - BUCKET_NAME：值區名稱。
- 來源刪除選項：根據偏好設定選取刪除選項。
- 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。注意：如果選取「刪除已轉移的檔案」或「刪除已轉移的檔案並清空目錄」選項，請務必授予服務帳戶適當的權限。
- 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
- 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間：資產命名空間。
- 擷取標籤：要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`asn`	`read_only_udm.network.asn`	直接對應至 `asn` 欄位。
`bytes_sent`	`read_only_udm.network.sent_bytes`	直接從 `bytes_sent` 欄位對應，並轉換為不帶正負號的整數。
`country`	`read_only_udm.principal.location.country_or_region`	直接對應至 `country` 欄位。
`host`	`read_only_udm.principal.hostname`	直接對應至 `host` 欄位。
`http_referer`	`read_only_udm.network.http.referral_url`	直接對應至 `http_referer` 欄位。
`http_user_agent`	`read_only_udm.network.http.user_agent`	直接對應至 `http_user_agent` 欄位。
`http_user_agent`	`read_only_udm.network.http.parsed_user_agent`	使用 `parseduseragent` 篩選器從 `http_user_agent` 欄位剖析。
	`read_only_udm.event_type`	由剖析器根據 `principal` 和 `target` 資訊是否存在而決定。可以是 NETWORK_HTTP、SCAN_UNCATEGORIZED 或 GENERIC_EVENT。
	`read_only_udm.metadata.product_name`	已硬式編碼為「AZION」。
	`read_only_udm.metadata.vendor_name`	已硬式編碼為「AZION」。
	`read_only_udm.metadata.product_version`	已硬式編碼為「AZION」。
`remote_addr`	`read_only_udm.principal.ip`	直接對應至 `remote_addr` 欄位。
`remote_port`	`read_only_udm.principal.port`	直接從 `remote_port` 欄位對應，並轉換為整數。
`requestPath`	`read_only_udm.target.url`	如果沒有 `request_uri` 欄位，則直接從 `requestPath` 欄位對應。
`request_method`	`read_only_udm.network.http.method`	直接從 `request_method` 欄位對應，並轉換為大寫。
`request_time`	`read_only_udm.additional.fields`	以鍵/值組合的形式新增至 `additional.fields` 陣列，鍵為「request_time」，值來自 `request_time` 欄位。
`request_uri`	`read_only_udm.target.url`	如有，則直接從 `request_uri` 欄位對應。
`server_addr`	`read_only_udm.target.ip`	直接對應至 `server_addr` 欄位。
`server_port`	`read_only_udm.target.port`	直接從 `server_port` 欄位對應，並轉換為整數。
`ssl_cipher`	`read_only_udm.network.tls.cipher`	直接對應至 `ssl_cipher` 欄位。
`ssl_protocol`	`read_only_udm.network.tls.version_protocol`	直接對應至 `ssl_protocol` 欄位。
`ssl_server_name`	`read_only_udm.network.tls.client.server_name`	直接對應至 `ssl_server_name` 欄位。
`state`	`read_only_udm.principal.location.state`	直接對應至 `state` 欄位。
`status`	`read_only_udm.network.http.response_code`	直接從 `status` 欄位對應，並轉換為整數。
`time`	`read_only_udm.metadata.event_timestamp`	使用日期篩選器和多種日期格式，從 `time` 欄位剖析。
`upstream_addr`	`read_only_udm.intermediary.ip`、`read_only_udm.intermediary.port`	使用 grok 從 `upstream_addr` 欄位擷取，並分割為 IP 和通訊埠。
`upstream_status`	`read_only_udm.additional.fields`	以鍵/值組合的形式新增至 `additional.fields` 陣列，鍵為「upstream_status」，值來自 `upstream_status` 欄位。
`waf_args`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_attack_action`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_attack_family`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_headers`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_learning`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_match`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_score`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_server`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_total_blocked`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_total_processed`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
`waf_uri`	`read_only_udm.security_result.detection_fields`	以鍵/值組合的形式新增至 `security_result.detection_fields` 陣列。
	`read_only_udm.security_result.action`	由剖析器根據 `waf_block` 或 `blocked` 欄位決定。設為「ALLOW」或「BLOCK」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。