Mengumpulkan log Cisco Umbrella Web Proxy

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Cisco Umbrella Web Proxy ke feed Google Security Operations menggunakan bucket AWS S3. Parser mengekstrak kolom dari log CSV, mengganti nama kolom agar lebih jelas dan menangani potensi variasi dalam data input. Kemudian, file yang disertakan (umbrella_proxy_udm.include dan umbrella_handle_identities.include) digunakan untuk memetakan kolom yang diekstrak ke UDM dan memproses informasi identitas berdasarkan kolom identityType.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda memiliki akses istimewa ke AWS IAM dan S3.
  • Pastikan Anda memiliki akses istimewa ke Cisco Umbrella.

Mengonfigurasi bucket Amazon S3 yang dikelola Cisco

  1. Login ke dasbor Cisco Umbrella.
  2. Buka Admin > Pengelolaan log.
  3. Pilih opsi Gunakan bucket Amazon S3 yang dikelola Cisco.
  4. Berikan detail konfigurasi berikut:
    • Pilih region: pilih region yang lebih dekat dengan lokasi Anda untuk latensi yang lebih rendah.
    • Pilih durasi retensi: pilih jangka waktu. Durasi retensi adalah 7, 14, atau 30 hari. Setelah jangka waktu yang dipilih, data akan dihapus dan tidak dapat dipulihkan. Jika siklus penyerapan Anda teratur, gunakan jangka waktu yang lebih singkat. Anda dapat mengubah durasi retensi di lain waktu.
  5. Klik Simpan.
  6. Klik Lanjutkan untuk mengonfirmasi pilihan Anda dan menerima notifikasi aktivasi.
    Di jendela Activation complete yang muncul, nilai Access key dan Secret key ditampilkan.
  7. Salin nilai Access key dan Secret key. Jika Anda kehilangan kunci ini, Anda harus membuatnya ulang.
  8. Klik Oke > Lanjutkan.
  9. Halaman ringkasan menampilkan konfigurasi dan nama bucket Anda. Anda dapat menonaktifkan atau mengaktifkan logging sesuai kebutuhan organisasi Anda. Namun, log dihapus berdasarkan durasi retensi, terlepas dari penambahan data baru.

Opsional: Mengonfigurasi kunci akses pengguna untuk bucket AWS S3 yang dikelola sendiri

  1. Login ke AWS Management Console.
  2. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  3. Pilih Pengguna yang dibuat.
  4. Pilih tab Kredensial keamanan.
  5. Klik Create Access Key di bagian Access Keys.
  6. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  7. Klik Berikutnya.
  8. Opsional: tambahkan tag deskripsi.
  9. Klik Create access key.
  10. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
  11. Klik Selesai.
  12. Pilih tab Izin.
  13. Klik Tambahkan izin di bagian Kebijakan izin.
  14. Pilih Tambahkan izin.
  15. Pilih Lampirkan kebijakan secara langsung.
  16. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  17. Klik Berikutnya.
  18. Klik Add permissions.

Opsional: Mengonfigurasi bucket Amazon S3 yang dikelola sendiri

  1. Login ke AWS Management Console.

  2. Buka S3.

  3. Klik Create bucket.

  4. Berikan detail konfigurasi berikut:

    • Nama bucket: berikan nama untuk bucket Amazon S3.
    • Region: pilih region.

  5. Klik Buat.

Opsional: Mengonfigurasi kebijakan bucket untuk bucket AWS S3 yang dikelola sendiri

  1. Klik bucket yang baru dibuat untuk membukanya.
  2. Pilih Properti > Izin.
  3. Di daftar Permissions, klik Add bucket policy.

  4. Masukkan kebijakan bucket yang telah dikonfigurasi sebelumnya sebagai berikut:

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"
    },
    {
      "Sid": "",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    },
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    }
  ]
}
    • Ganti BUCKET_NAME dengan nama bucket Amazon S3 yang Anda berikan.

  5. Klik Simpan.

Opsional: Verifikasi yang Diperlukan untuk bucket Amazon S3 yang dikelola sendiri

  1. Di dasbor Cisco Umbrella, pilih Admin > Log management > Amazon S3.
  2. Di kolom Bucket name, tentukan nama bucket Amazon S3 Anda yang tepat, lalu klik Verify.
  3. Sebagai bagian dari proses verifikasi, file bernama README_FROM_UMBRELLA.txt diupload dari Cisco Umbrella ke bucket Amazon S3 Anda. Anda mungkin perlu memuat ulang browser untuk melihat file readme saat diupload.
  4. Download file README_FROM_UMBRELLA.txt, lalu buka menggunakan editor teks.
  5. Salin dan simpan token Cisco Umbrella unik dari file.
  6. Buka dasbor Cisco Umbrella.
  7. Di kolom Token number, tentukan token, lalu klik Save.
  8. Jika berhasil, Anda akan menerima pesan konfirmasi di dasbor yang menunjukkan bahwa bucket telah berhasil diverifikasi. Jika Anda menerima error yang menunjukkan bahwa bucket Anda tidak dapat diverifikasi, periksa kembali sintaks nama bucket dan tinjau konfigurasi.

Mengonfigurasi feed di Google SecOps untuk memproses log Cisco Umbrella Web Proxy

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Cisco Umbrella Web Proxy.
  4. Pilih Amazon S3 V2 sebagai Jenis sumber.
  5. Pilih Cisco Umbrella Web Proxy sebagai Jenis log.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • URI S3: URI bucket.
      • s3:/BUCKET_NAME
        • Ganti BUCKET_NAME dengan nama bucket yang sebenarnya.
    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
ampDisposition security_result.detection_fields[].value Nilai ampDisposition dari log mentah.
ampMalware security_result.detection_fields[].value Nilai ampMalware dari log mentah.
ampScore security_result.detection_fields[].value Nilai ampScore dari log mentah.
avDetections security_result.detection_fields[].value Nilai avDetections dari log mentah.
blockedCategories security_result.threat_name Nilai blockedCategories dari log mentah.
certificateErrors security_result.detection_fields[].value Nilai certificateErrors dari log mentah.
contentType security_result.detection_fields[].value Nilai contentType dari log mentah.
destinationIp target.ip Nilai destinationIp dari log mentah.
destinationListID security_result.detection_fields[].value Nilai destinationListID dari log mentah.
dlpstatus security_result.detection_fields[].value Nilai dlpstatus dari log mentah.
externalIp principal.ip Nilai externalIp dari log mentah.
fileAction security_result.detection_fields[].value Nilai fileAction dari log mentah.
fileName target.file.names Nilai fileName dari log mentah.
identitiesV8 principal.hostname Nilai identitiesV8 dari log mentah.
identity principal.location.name Nilai identity dari log mentah.
internalIp principal.ip Nilai internalIp dari log mentah.
isolateAction security_result.detection_fields[].value Nilai isolateAction dari log mentah.
referer network.http.referral_url Nilai referer dari log mentah.
requestMethod network.http.method Nilai requestMethod dari log mentah.
requestSize security_result.detection_fields[].value Nilai requestSize dari log mentah.
responseBodySize security_result.detection_fields[].value Nilai responseBodySize dari log mentah.
responseSize security_result.detection_fields[].value Nilai responseSize dari log mentah.
ruleID security_result.rule_id Nilai ruleID dari log mentah.
rulesetID security_result.detection_fields[].value Nilai rulesetID dari log mentah.
sha security_result.about.file.sha256 Nilai sha dari log mentah.
statusCode network.http.response_code Nilai statusCode dari log mentah.
ts timestamp Nilai ts dari log mentah, diuraikan menjadi stempel waktu.
url target.url Nilai url dari log mentah.
userAgent network.http.user_agent Nilai userAgent dari log mentah.
verdict security_result.detection_fields[].value Nilai verdict dari log mentah.
warnstatus security_result.detection_fields[].value Nilai warnstatus dari log mentah. Nilai collection_time dari log mentah. Hardcode ke NETWORK_HTTP. Hardcode ke Cisco. Hardcode ke Umbrella. Hardcode ke UMBRELLA_WEBPROXY. Diambil dari skema kolom URL (http atau https). Diuraikan dari kolom userAgent menggunakan library penguraian agen pengguna. Nilai requestSize dari log mentah, dikonversi menjadi bilangan bulat. Nilai responseSize dari log mentah, dikonversi menjadi bilangan bulat. Diperoleh dari kolom identity saat identityType (atau identityTypeV8 dengan identitiesV8) menunjukkan pengguna. Selanjutnya diuraikan untuk mengekstrak detail pengguna seperti nama tampilan, nama depan, nama belakang, dan alamat email. Dipetakan dari kolom verdict: allowed atau allowed -> ALLOW, nilai lainnya -> BLOCK. Jika categories tidak kosong, tetapkan ke NETWORK_CATEGORIZED_CONTENT. Nilai categories dari log mentah. Berdasarkan verdict dan berpotensi kolom lainnya. Biasanya Traffic allowed atau Traffic blocked. Jika verdict bukan allowed atau blocked dan statusCode ada, ringkasannya adalah Traffic %{statusCode}.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.