Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Censys

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Censys ke Google Security Operations menggunakan Amazon S3. Censys menyediakan pengelolaan permukaan serangan dan kecerdasan internet yang komprehensif melalui API-nya. Integrasi ini memungkinkan Anda mengumpulkan peristiwa penemuan host, peristiwa risiko, dan perubahan aset dari Censys ASM serta meneruskannya ke Google SecOps untuk dianalisis dan dipantau. Parser mengubah log mentah menjadi format terstruktur yang sesuai dengan UDM Google SecOps. Proses ini mengekstrak kolom dari pesan log mentah, melakukan konversi jenis data, dan memetakan informasi yang diekstrak ke kolom UDM yang sesuai, sehingga memperkaya data dengan konteks dan label tambahan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Akses istimewa ke Censys ASM
Akses istimewa ke AWS (S3, IAM, Lambda, EventBridge)

Mengumpulkan prasyarat Censys (kredensial API)

Login ke Censys ASM Console di app.censys.io.
Buka Integrations di bagian atas halaman.
Salin dan simpan API Key dan Organization ID Anda.
Catat URL Dasar API: https://api.platform.censys.io

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, censys-logs).
Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
Klik Selesai.
Pilih tab Izin.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung
Telusuri dan pilih kebijakan AmazonS3FullAccess.
Klik Berikutnya.
Klik Add permissions.

Mengonfigurasi kebijakan dan peran IAM untuk upload S3

Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

Masukkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::censys-logs/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::censys-logs/censys/state.json"
    }
  ]
}

Ganti censys-logs jika Anda memasukkan nama bucket yang berbeda.

Klik Berikutnya > Buat kebijakan.
Buka IAM > Roles > Create role > AWS service > Lambda.
Lampirkan kebijakan yang baru dibuat dan kebijakan terkelola AWSLambdaBasicExecutionRole (untuk akses CloudWatch Logs).
Beri nama peran censys-lambda-role, lalu klik Buat peran.

Buat fungsi Lambda

Di Konsol AWS, buka Lambda > Functions > Create function.
Klik Buat dari awal.
Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`censys-data-collector`
Runtime	Python 3.13
Arsitektur	x86_64
Peran eksekusi	`censys-lambda-role`

Setelah fungsi dibuat, buka tab Code, hapus stub, dan masukkan kode berikut (censys-data-collector.py):

import json
import boto3
import urllib3
import gzip
import logging
import os
from datetime import datetime, timedelta, timezone
from typing import Dict, List, Any, Optional
from urllib.parse import urlencode

# Configure logging
logger = logging.getLogger()
logger.setLevel(logging.INFO)

# AWS S3 client
s3_client = boto3.client('s3')
# HTTP client
http = urllib3.PoolManager()

# Environment variables
S3_BUCKET = os.environ['S3_BUCKET']
S3_PREFIX = os.environ['S3_PREFIX']
STATE_KEY = os.environ['STATE_KEY']
CENSYS_API_KEY = os.environ['CENSYS_API_KEY']
CENSYS_ORG_ID = os.environ['CENSYS_ORG_ID']
API_BASE = os.environ.get('API_BASE', 'https://api.platform.censys.io')

class CensysCollector:
    def __init__(self):
        self.headers = {
            'Authorization': f'Bearer {CENSYS_API_KEY}',
            'X-Organization-ID': CENSYS_ORG_ID,
            'Content-Type': 'application/json'
        }

    def get_last_collection_time(self) -> Optional[datetime]:
        """Get the last collection timestamp from S3 state file."""
        try:
            response = s3_client.get_object(Bucket=S3_BUCKET, Key=STATE_KEY)
            state = json.loads(response['Body'].read().decode('utf-8'))
            return datetime.fromisoformat(state.get('last_collection_time', '2024-01-01T00:00:00Z'))
        except Exception as e:
            logger.info(f"No state file found or error reading state: {e}")
            return datetime.now(timezone.utc) - timedelta(hours=1)

    def save_collection_time(self, collection_time: datetime):
        """Save the current collection timestamp to S3 state file."""
        state = {'last_collection_time': collection_time.strftime('%Y-%m-%dT%H:%M:%SZ')}
        s3_client.put_object(
            Bucket=S3_BUCKET,
            Key=STATE_KEY,
            Body=json.dumps(state),
            ContentType='application/json'
        )

    def collect_logbook_events(self, cursor: str = None) -> List[Dict[str, Any]]:
        """Collect logbook events from Censys ASM API using cursor-based pagination."""
        events = []
        url = f"{API_BASE}/v3/logbook"

        # Use cursor-based pagination as per Censys API documentation
        params = {}
        if cursor:
            params['cursor'] = cursor

        try:
            query_string = urlencode(params) if params else ''
            full_url = f"{url}?{query_string}" if query_string else url

            response = http.request('GET', full_url, headers=self.headers)

            if response.status != 200:
                logger.error(f"API request failed with status {response.status}: {response.data}")
                return []

            data = json.loads(response.data.decode('utf-8'))
            events.extend(data.get('logbook_entries', []))

            # Handle cursor-based pagination
            next_cursor = data.get('next_cursor')
            if next_cursor:
                events.extend(self.collect_logbook_events(next_cursor))

            logger.info(f"Collected {len(events)} logbook events")
            return events

        except Exception as e:
            logger.error(f"Error collecting logbook events: {e}")
            return []

    def collect_risks_events(self) -> List[Dict[str, Any]]:
        """Collect risk events from Censys ASM API."""
        events = []
        url = f"{API_BASE}/v3/risks"

        try:
            response = http.request('GET', url, headers=self.headers)

            if response.status != 200:
                logger.error(f"API request failed with status {response.status}: {response.data}")
                return []

            data = json.loads(response.data.decode('utf-8'))
            events.extend(data.get('risks', []))

            logger.info(f"Collected {len(events)} risk events")
            return events

        except Exception as e:
            logger.error(f"Error collecting risk events: {e}")
            return []

    def save_events_to_s3(self, events: List[Dict[str, Any]], event_type: str):
        """Save events to S3 in compressed NDJSON format."""
        if not events:
            return

        timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
        filename = f"{S3_PREFIX}{event_type}_{timestamp}.json.gz"

        try:
            # Convert events to newline-delimited JSON
            ndjson_content = 'n'.join(json.dumps(event, separators=(',', ':')) for event in events)

            # Compress with gzip
            gz_bytes = gzip.compress(ndjson_content.encode('utf-8'))

            s3_client.put_object(
                Bucket=S3_BUCKET,
                Key=filename,
                Body=gz_bytes,
                ContentType='application/gzip',
                ContentEncoding='gzip'
            )

            logger.info(f"Saved {len(events)} {event_type} events to {filename}")

        except Exception as e:
            logger.error(f"Error saving {event_type} events to S3: {e}")
            raise

def lambda_handler(event, context):
    """AWS Lambda handler function."""
    try:
        collector = CensysCollector()

        # Get last collection time for cursor state management
        last_collection_time = collector.get_last_collection_time()
        current_time = datetime.now(timezone.utc)

        logger.info(f"Collecting events since {last_collection_time}")

        # Collect different types of events
        logbook_events = collector.collect_logbook_events()
        risk_events = collector.collect_risks_events()

        # Save events to S3
        collector.save_events_to_s3(logbook_events, 'logbook')
        collector.save_events_to_s3(risk_events, 'risks')

        # Update state
        collector.save_collection_time(current_time)

        return {
            'statusCode': 200,
            'body': json.dumps({
                'message': 'Censys data collection completed successfully',
                'logbook_events': len(logbook_events),
                'risk_events': len(risk_events),
                'collection_time': current_time.strftime('%Y-%m-%dT%H:%M:%SZ')
            })
        }

    except Exception as e:
        logger.error(f"Lambda execution failed: {str(e)}")
        return {
            'statusCode': 500,
            'body': json.dumps({
                'error': str(e)
            })
        }

Buka Configuration > Environment variables > Edit > Add new environment variable.

Masukkan variabel lingkungan berikut, ganti dengan nilai Anda:

Kunci	Nilai contoh
`S3_BUCKET`	`censys-logs`
`S3_PREFIX`	`censys/`
`STATE_KEY`	`censys/state.json`
`CENSYS_API_KEY`	`<your-censys-api-key>`
`CENSYS_ORG_ID`	`<your-organization-id>`
`API_BASE`	`https://api.platform.censys.io`

Setelah fungsi dibuat, tetap buka halamannya (atau buka Lambda > Functions > your-function).
Pilih tab Configuration
Di panel General configuration, klik Edit.
Ubah Waktu tunggu menjadi 5 menit (300 detik), lalu klik Simpan.

Membuat jadwal EventBridge

Buka Amazon EventBridge > Scheduler > Create schedule.
Berikan detail konfigurasi berikut:
- Jadwal berulang: Tarif (1 hour).
- Target: fungsi Lambda Anda censys-data-collector.
- Name: censys-data-collector-1h.
Klik Buat jadwal.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

Di Konsol AWS, buka IAM > Pengguna > Tambahkan pengguna.
Klik Add users.
Berikan detail konfigurasi berikut:
- Pengguna: secops-reader.
- Jenis akses: Kunci akses — Akses terprogram.
Klik Buat pengguna.
Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.

Di editor JSON, masukkan kebijakan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::censys-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::censys-logs"
    }
  ]
}

Tetapkan nama ke secops-reader-policy.
Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.
Buka Kredensial keamanan > Kunci akses > Buat kunci akses.
Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk menyerap log Censys

Buka Setelan SIEM > Feed.
Klik + Tambahkan Feed Baru.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Censys logs).
Pilih Amazon S3 V2 sebagai Jenis sumber.
Pilih CENSYS sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI S3: s3://censys-logs/censys/
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
assetId	read_only_udm.principal.asset.hostname	Jika kolom assetId bukan alamat IP, kolom tersebut dipetakan ke principal.asset.hostname.
assetId	read_only_udm.principal.asset.ip	Jika kolom assetId adalah alamat IP, kolom tersebut dipetakan ke principal.asset.ip.
assetId	read_only_udm.principal.hostname	Jika kolom assetId bukan alamat IP, kolom tersebut dipetakan ke principal.hostname.
assetId	read_only_udm.principal.ip	Jika kolom assetId adalah alamat IP, kolom tersebut dipetakan ke principal.ip.
associatedAt	read_only_udm.security_result.detection_fields.value	Kolom associatedAt dipetakan ke security_result.detection_fields.value.
autonomousSystem.asn	read_only_udm.additional.fields.value.string_value	Kolom autonomousSystem.asn dikonversi menjadi string dan dipetakan ke additional.fields.value.string_value dengan kunci "autonomousSystem_asn".
autonomousSystem.bgpPrefix	read_only_udm.additional.fields.value.string_value	Kolom autonomousSystem.bgpPrefix dipetakan ke additional.fields.value.string_value dengan kunci "autonomousSystem_bgpPrefix".
banner	read_only_udm.principal.resource.attribute.labels.value	Kolom banner dipetakan ke principal.resource.attribute.labels.value dengan kunci "banner".
cloud	read_only_udm.metadata.vendor_name	Kolom cloud dipetakan ke metadata.vendor_name.
comments.refUrl	read_only_udm.network.http.referral_url	Kolom comments.refUrl dipetakan ke network.http.referral_url.
data.cve	read_only_udm.additional.fields.value.string_value	Kolom data.cve dipetakan ke additional.fields.value.string_value dengan kunci "data_cve".
data.cvss	read_only_udm.additional.fields.value.string_value	Kolom data.cvss dipetakan ke additional.fields.value.string_value dengan kunci "data_cvss".
data.ipAddress	read_only_udm.principal.asset.ip	Jika kolom data.ipAddress tidak sama dengan kolom assetId, kolom tersebut dipetakan ke principal.asset.ip.
data.ipAddress	read_only_udm.principal.ip	Jika kolom data.ipAddress tidak sama dengan kolom assetId, kolom tersebut dipetakan ke principal.ip.
data.location.city	read_only_udm.principal.location.city	Jika kolom location.city kosong, kolom data.location.city dipetakan ke principal.location.city.
data.location.countryCode	read_only_udm.principal.location.country_or_region	Jika kolom location.country kosong, kolom data.location.countryCode dipetakan ke principal.location.country_or_region.
data.location.latitude	read_only_udm.principal.location.region_coordinates.latitude	Jika kolom location.coordinates.latitude dan location.geoCoordinates.latitude kosong, kolom data.location.latitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude.
data.location.longitude	read_only_udm.principal.location.region_coordinates.longitude	Jika kolom location.coordinates.longitude dan location.geoCoordinates.longitude kosong, kolom data.location.longitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude.
data.location.province	read_only_udm.principal.location.state	Jika kolom location.province kosong, kolom data.location.province dipetakan ke principal.location.state.
data.mailServers	read_only_udm.additional.fields.value.list_value.values.string_value	Setiap elemen dalam array data.mailServers dipetakan ke entri additional.fields terpisah dengan kunci "Mail Servers" dan value.list_value.values.string_value ditetapkan ke nilai elemen.
data.names.forwardDns[].name	read_only_udm.network.dns.questions.name	Setiap elemen dalam array data.names.forwardDns dipetakan ke entri network.dns.questions terpisah dengan kolom nama yang ditetapkan ke kolom nama elemen.
data.nameServers	read_only_udm.additional.fields.value.list_value.values.string_value	Setiap elemen dalam array data.nameServers dipetakan ke entri additional.fields terpisah dengan kunci "Name nameServers" dan value.list_value.values.string_value ditetapkan ke nilai elemen.
data.protocols[].transportProtocol	read_only_udm.network.ip_protocol	Jika kolom data.protocols[].transportProtocol adalah salah satu dari TCP, EIGRP, ESP, ETHERIP, GRE, ICMP, IGMP, IP6IN4, PIM, UDP, atau VRRP, maka akan dipetakan ke network.ip_protocol.
data.protocols[].transportProtocol	read_only_udm.principal.resource.attribute.labels.value	Kolom data.protocols[].transportProtocol dipetakan ke principal.resource.attribute.labels.value dengan kunci "data_protocols {index}".
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.user_agent	Jika kolom http.request.headers[].key adalah "User-Agent", kolom http.request.headers[].value.headers.0 yang sesuai dipetakan ke network.http.user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.network.http.parsed_user_agent	Jika kolom http.request.headers[].key adalah "User-Agent", kolom http.request.headers[].value.headers.0 yang sesuai akan diuraikan sebagai string agen pengguna dan dipetakan ke network.http.parsed_user_agent.
http.request.headers[].key, http.request.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Untuk setiap elemen dalam array http.request.headers, kolom key dipetakan ke principal.resource.attribute.labels.key dan kolom value.headers.0 dipetakan ke principal.resource.attribute.labels.value.
http.request.uri	read_only_udm.principal.asset.hostname	Bagian nama host dari kolom http.request.uri diekstrak dan dipetakan ke principal.asset.hostname.
http.request.uri	read_only_udm.principal.hostname	Bagian nama host dari kolom http.request.uri diekstrak dan dipetakan ke principal.hostname.
http.response.body	read_only_udm.principal.resource.attribute.labels.value	Kolom http.response.body dipetakan ke principal.resource.attribute.labels.value dengan kunci "http_response_body".
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.target.hostname	Jika kolom http.response.headers[].key adalah "Server", kolom http.response.headers[].value.headers.0 yang sesuai dipetakan ke target.hostname.
http.response.headers[].key, http.response.headers[].value.headers.0	read_only_udm.principal.resource.attribute.labels.key, read_only_udm.principal.resource.attribute.labels.value	Untuk setiap elemen dalam array http.response.headers, kolom key dipetakan ke principal.resource.attribute.labels.key dan kolom value.headers.0 dipetakan ke principal.resource.attribute.labels.value.
http.response.statusCode	read_only_udm.network.http.response_code	Kolom http.response.statusCode dikonversi menjadi bilangan bulat dan dipetakan ke network.http.response_code.
ip	read_only_udm.target.asset.ip	Kolom ip dipetakan ke target.asset.ip.
ip	read_only_udm.target.ip	Kolom ip dipetakan ke target.ip.
isSeed	read_only_udm.additional.fields.value.string_value	Kolom isSeed dikonversi menjadi string dan dipetakan ke additional.fields.value.string_value dengan kunci "isSeed".
location.city	read_only_udm.principal.location.city	Kolom location.city dipetakan ke principal.location.city.
location.continent	read_only_udm.additional.fields.value.string_value	Kolom location.continent dipetakan ke additional.fields.value.string_value dengan kunci "location_continent".
location.coordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	Kolom location.coordinates.latitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude.
location.coordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	Kolom location.coordinates.longitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude.
location.country	read_only_udm.principal.location.country_or_region	Kolom location.country dipetakan ke principal.location.country_or_region.
location.geoCoordinates.latitude	read_only_udm.principal.location.region_coordinates.latitude	Jika kolom location.coordinates.latitude kosong, kolom location.geoCoordinates.latitude dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.latitude.
location.geoCoordinates.longitude	read_only_udm.principal.location.region_coordinates.longitude	Jika kolom location.coordinates.longitude kosong, kolom location.geoCoordinates.longitude akan dikonversi menjadi float dan dipetakan ke principal.location.region_coordinates.longitude.
location.postalCode	read_only_udm.additional.fields.value.string_value	Kolom location.postalCode dipetakan ke additional.fields.value.string_value dengan kunci "Postal code".
location.province	read_only_udm.principal.location.state	Kolom location.province dipetakan ke principal.location.state.
operasi	read_only_udm.security_result.action_details	Kolom operasi dipetakan ke security_result.action_details.
perspectiveId	read_only_udm.principal.group.product_object_id	Kolom perspectiveId dipetakan ke principal.group.product_object_id.
port	read_only_udm.principal.port	Kolom port dikonversi menjadi bilangan bulat dan dipetakan ke principal.port.
risks[].severity, risks[].title	read_only_udm.security_result.category_details	Kolom risks[].severity digabungkan dengan kolom risks[].title dan dipetakan ke security_result.category_details.
serviceName	read_only_udm.network.application_protocol	Jika kolom serviceName adalah "HTTP" atau "HTTPS", kolom tersebut dipetakan ke network.application_protocol.
sourceIp	read_only_udm.principal.asset.ip	Kolom sourceIp dipetakan ke principal.asset.ip.
sourceIp	read_only_udm.principal.ip	Kolom sourceIp dipetakan ke principal.ip.
timestamp	read_only_udm.metadata.event_timestamp	Kolom stempel waktu diuraikan sebagai stempel waktu dan dipetakan ke metadata.event_timestamp.
transportFingerprint.id	read_only_udm.metadata.product_log_id	Kolom transportFingerprint.id dikonversi menjadi string dan dipetakan ke metadata.product_log_id.
transportFingerprint.raw	read_only_udm.additional.fields.value.string_value	Kolom transportFingerprint.raw dipetakan ke additional.fields.value.string_value dengan kunci "transportFingerprint_raw".
jenis	read_only_udm.metadata.product_event_type	Kolom jenis dipetakan ke metadata.product_event_type.
-	read_only_udm.metadata.product_name	Nilai "CENSYS_ASM" ditetapkan ke metadata.product_name.
-	read_only_udm.metadata.vendor_name	Nilai "CENSYS" ditetapkan ke metadata.vendor_name.
-	read_only_udm.metadata.event_type	Jenis peristiwa ditentukan berdasarkan keberadaan kolom tertentu: NETWORK_CONNECTION jika has_princ_machine_id dan has_target_machine bernilai benar dan has_network_flow bernilai salah, NETWORK_DNS jika has_network_flow bernilai benar, STATUS_UPDATE jika has_princ_machine_id bernilai benar, dan GENERIC_EVENT jika tidak.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.