Mengumpulkan log Cisco Umbrella Web Proxy
Dokumen ini menjelaskan cara mengumpulkan log Cisco Umbrella Web Proxy ke feed Google Security Operations menggunakan bucket AWS S3. Parser mengekstrak kolom dari log CSV, mengganti nama kolom agar lebih jelas dan menangani potensi variasi dalam data input. Kemudian, file yang disertakan (umbrella_proxy_udm.include
dan umbrella_handle_identities.include
) digunakan untuk memetakan kolom yang diekstrak ke UDM dan memproses informasi identitas berdasarkan kolom identityType
.
Sebelum memulai
- Pastikan Anda memiliki instance Google SecOps.
- Pastikan Anda memiliki akses istimewa ke AWS IAM dan S3.
- Pastikan Anda memiliki akses istimewa ke Cisco Umbrella.
Mengonfigurasi bucket Amazon S3 yang dikelola Cisco
- Login ke dasbor Cisco Umbrella.
- Buka Admin > Pengelolaan log.
- Pilih opsi Gunakan bucket Amazon S3 yang dikelola Cisco.
- Berikan detail konfigurasi berikut:
- Pilih region: pilih region yang lebih dekat dengan lokasi Anda untuk latensi yang lebih rendah.
- Pilih durasi retensi: pilih jangka waktu. Durasi retensi adalah 7, 14, atau 30 hari. Setelah jangka waktu yang dipilih, data akan dihapus dan tidak dapat dipulihkan. Jika siklus penyerapan Anda teratur, gunakan jangka waktu yang lebih singkat. Anda dapat mengubah durasi retensi di lain waktu.
- Klik Simpan.
- Klik Lanjutkan untuk mengonfirmasi pilihan Anda dan menerima notifikasi aktivasi.
Di jendela Activation complete yang muncul, nilai Access key dan Secret key ditampilkan. - Salin nilai Access key dan Secret key. Jika Anda kehilangan kunci ini, Anda harus membuatnya ulang.
- Klik Oke > Lanjutkan.
- Halaman ringkasan menampilkan konfigurasi dan nama bucket Anda. Anda dapat menonaktifkan atau mengaktifkan logging sesuai kebutuhan organisasi Anda. Namun, log dihapus berdasarkan durasi retensi, terlepas dari penambahan data baru.
Opsional: Mengonfigurasi kunci akses pengguna untuk bucket AWS S3 yang dikelola sendiri
- Login ke AWS Management Console.
- Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
- Klik Selesai.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung.
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Add permissions.
Opsional: Mengonfigurasi bucket Amazon S3 yang dikelola sendiri
Login ke AWS Management Console.
Buka S3.
Klik Create bucket.
Berikan detail konfigurasi berikut:
- Nama bucket: berikan nama untuk bucket Amazon S3.
- Region: pilih region.
Klik Buat.
Opsional: Mengonfigurasi kebijakan bucket untuk bucket AWS S3 yang dikelola sendiri
- Klik bucket yang baru dibuat untuk membukanya.
- Pilih Properti > Izin.
- Di daftar Permissions, klik Add bucket policy.
Masukkan kebijakan bucket yang telah dikonfigurasi sebelumnya sebagai berikut:
{ "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*" }, { "Sid": "", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*"}, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::BUCKET_NAME" }, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::BUCKET_NAME" } ] }
- Ganti
BUCKET_NAME
dengan nama bucket Amazon S3 yang Anda berikan.
- Ganti
Klik Simpan.
Opsional: Verifikasi yang Diperlukan untuk bucket Amazon S3 yang dikelola sendiri
- Di dasbor Cisco Umbrella, pilih Admin > Log management > Amazon S3.
- Di kolom Bucket name, tentukan nama bucket Amazon S3 Anda yang tepat, lalu klik Verify.
- Sebagai bagian dari proses verifikasi, file bernama
README_FROM_UMBRELLA.txt
diupload dari Cisco Umbrella ke bucket Amazon S3 Anda. Anda mungkin perlu memuat ulang browser untuk melihat file readme saat diupload. - Download file
README_FROM_UMBRELLA.txt
, lalu buka menggunakan editor teks. - Salin dan simpan token Cisco Umbrella unik dari file.
- Buka dasbor Cisco Umbrella.
- Di kolom Token number, tentukan token, lalu klik Save.
- Jika berhasil, Anda akan menerima pesan konfirmasi di dasbor yang menunjukkan bahwa bucket telah berhasil diverifikasi. Jika Anda menerima error yang menunjukkan bahwa bucket Anda tidak dapat diverifikasi, periksa kembali sintaks nama bucket dan tinjau konfigurasi.
Mengonfigurasi feed di Google SecOps untuk memproses log Cisco Umbrella Web Proxy
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Cisco Umbrella Web Proxy.
- Pilih Amazon S3 V2 sebagai Jenis sumber.
- Pilih Cisco Umbrella Web Proxy sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI S3: URI bucket.
s3:/BUCKET_NAME
- Ganti
BUCKET_NAME
dengan nama bucket yang sebenarnya.
- Ganti
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
- URI S3: URI bucket.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
ampDisposition |
security_result.detection_fields[].value |
Nilai ampDisposition dari log mentah. |
ampMalware |
security_result.detection_fields[].value |
Nilai ampMalware dari log mentah. |
ampScore |
security_result.detection_fields[].value |
Nilai ampScore dari log mentah. |
avDetections |
security_result.detection_fields[].value |
Nilai avDetections dari log mentah. |
blockedCategories |
security_result.threat_name |
Nilai blockedCategories dari log mentah. |
certificateErrors |
security_result.detection_fields[].value |
Nilai certificateErrors dari log mentah. |
contentType |
security_result.detection_fields[].value |
Nilai contentType dari log mentah. |
destinationIp |
target.ip |
Nilai destinationIp dari log mentah. |
destinationListID |
security_result.detection_fields[].value |
Nilai destinationListID dari log mentah. |
dlpstatus |
security_result.detection_fields[].value |
Nilai dlpstatus dari log mentah. |
externalIp |
principal.ip |
Nilai externalIp dari log mentah. |
fileAction |
security_result.detection_fields[].value |
Nilai fileAction dari log mentah. |
fileName |
target.file.names |
Nilai fileName dari log mentah. |
identitiesV8 |
principal.hostname |
Nilai identitiesV8 dari log mentah. |
identity |
principal.location.name |
Nilai identity dari log mentah. |
internalIp |
principal.ip |
Nilai internalIp dari log mentah. |
isolateAction |
security_result.detection_fields[].value |
Nilai isolateAction dari log mentah. |
referer |
network.http.referral_url |
Nilai referer dari log mentah. |
requestMethod |
network.http.method |
Nilai requestMethod dari log mentah. |
requestSize |
security_result.detection_fields[].value |
Nilai requestSize dari log mentah. |
responseBodySize |
security_result.detection_fields[].value |
Nilai responseBodySize dari log mentah. |
responseSize |
security_result.detection_fields[].value |
Nilai responseSize dari log mentah. |
ruleID |
security_result.rule_id |
Nilai ruleID dari log mentah. |
rulesetID |
security_result.detection_fields[].value |
Nilai rulesetID dari log mentah. |
sha |
security_result.about.file.sha256 |
Nilai sha dari log mentah. |
statusCode |
network.http.response_code |
Nilai statusCode dari log mentah. |
ts |
timestamp |
Nilai ts dari log mentah, diuraikan menjadi stempel waktu. |
url |
target.url |
Nilai url dari log mentah. |
userAgent |
network.http.user_agent |
Nilai userAgent dari log mentah. |
verdict |
security_result.detection_fields[].value |
Nilai verdict dari log mentah. |
warnstatus |
security_result.detection_fields[].value |
Nilai warnstatus dari log mentah. Nilai collection_time dari log mentah. Hardcode ke NETWORK_HTTP . Hardcode ke Cisco . Hardcode ke Umbrella . Hardcode ke UMBRELLA_WEBPROXY . Diambil dari skema kolom URL (http atau https ). Diuraikan dari kolom userAgent menggunakan library penguraian agen pengguna. Nilai requestSize dari log mentah, dikonversi menjadi bilangan bulat. Nilai responseSize dari log mentah, dikonversi menjadi bilangan bulat. Diperoleh dari kolom identity saat identityType (atau identityTypeV8 dengan identitiesV8 ) menunjukkan pengguna. Selanjutnya diuraikan untuk mengekstrak detail pengguna seperti nama tampilan, nama depan, nama belakang, dan alamat email. Dipetakan dari kolom verdict : allowed atau allowed -> ALLOW , nilai lainnya -> BLOCK . Jika categories tidak kosong, tetapkan ke NETWORK_CATEGORIZED_CONTENT . Nilai categories dari log mentah. Berdasarkan verdict dan berpotensi kolom lainnya. Biasanya Traffic allowed atau Traffic blocked . Jika verdict bukan allowed atau blocked dan statusCode ada, ringkasannya adalah Traffic %{statusCode} . |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.