Cisco Umbrella Web Proxy 로그 수집

다음에서 지원:

이 문서에서는 AWS S3 버킷을 사용하여 Cisco Umbrella 웹 프록시 로그를 Google Security Operations 피드로 수집하는 방법을 설명합니다. 파서는 CSV 로그에서 필드를 추출하여 명확성을 위해 열 이름을 바꾸고 입력 데이터의 잠재적 변동을 처리합니다. 그런 다음 포함된 파일 (umbrella_proxy_udm.includeumbrella_handle_identities.include)을 사용하여 추출된 필드를 UDM에 매핑하고 identityType 필드를 기반으로 ID 정보를 처리합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • AWS IAM 및 S3에 대한 권한이 있는지 확인합니다.
  • Cisco Umbrella에 대한 권한 액세스 권한이 있는지 확인합니다.

Cisco 관리 Amazon S3 버킷 구성

  1. Cisco Umbrella 대시보드에 로그인합니다.
  2. 관리 > 로그 관리로 이동합니다.
  3. Cisco 관리 Amazon S3 버킷 사용 옵션을 선택합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 리전 선택: 지연 시간을 줄이려면 내 위치와 가까운 리전을 선택합니다.
    • 보관 기간 선택: 기간을 선택합니다. 보관 기간은 7일, 14일 또는 30일입니다. 선택한 기간이 지나면 데이터가 삭제되어 복구할 수 없습니다. 수집 주기가 정기적인 경우 더 짧은 기간을 사용하세요. 보관 기간은 나중에 변경할 수 있습니다.
  5. 저장을 클릭합니다.
  6. 계속을 클릭하여 선택한 내용을 확인하고 활성화 알림을 받습니다.
    활성화 완료 창이 표시되면 액세스 키보안 비밀 키 값이 표시됩니다.
  7. 액세스 키보안 비밀 키 값을 복사합니다. 이러한 키를 분실한 경우 다시 생성해야 합니다.
  8. 확인 > 계속을 클릭합니다.
  9. 요약 페이지에 구성과 버킷 이름이 표시됩니다. 조직의 요구사항에 따라 로깅을 사용 중지하거나 사용 설정할 수 있습니다. 하지만 새 데이터가 추가되더라도 보관 기간에 따라 로그가 삭제됩니다.

선택사항: 자체 관리 AWS S3 버킷의 사용자 액세스 키 구성

  1. AWS 관리 콘솔에 로그인합니다.
  2. 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
  3. 생성된 사용자를 선택합니다.
  4. 보안 사용자 인증 정보 탭을 선택합니다.
  5. 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
  6. 사용 사례서드 파티 서비스를 선택합니다.
  7. 다음을 클릭합니다.
  8. 선택사항: 설명 태그를 추가합니다.
  9. 액세스 키 만들기를 클릭합니다.
  10. CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키비밀 액세스 키를 저장합니다.
  11. 완료를 클릭합니다.
  12. 권한 탭을 선택합니다.
  13. 권한 정책 섹션에서 권한 추가를 클릭합니다.
  14. 권한 추가를 선택합니다.
  15. 정책 직접 연결을 선택합니다.
  16. AmazonS3FullAccess 정책을 검색하여 선택합니다.
  17. 다음을 클릭합니다.
  18. 권한 추가를 클릭합니다.

선택사항: 자체 관리 Amazon S3 버킷 구성

  1. AWS 관리 콘솔에 로그인합니다.

  2. S3로 이동합니다.

  3. 버킷 만들기를 클릭합니다.

  4. 다음 구성 세부정보를 제공합니다.

    • 버킷 이름: Amazon S3 버킷의 이름을 제공합니다.
    • 리전: 리전을 선택합니다.
  5. 만들기를 클릭합니다.

선택사항: 자체 관리 AWS S3 버킷의 버킷 정책 구성

  1. 새로 만든 버킷을 클릭하여 엽니다.
  2. 속성> 권한을 선택합니다.
  3. 권한 목록에서 버킷 정책 추가를 클릭합니다.
  4. 다음과 같이 사전 구성된 버킷 정책을 입력합니다.

    {
      "Version": "2008-10-17",
      "Statement": [
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:PutObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"
        },
        {
          "Sid": "",
          "Effect": "Deny",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetBucketLocation",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        },
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        }
      ]
    }
    
    • BUCKET_NAME을 제공한 Amazon S3 버킷 이름으로 바꿉니다.
  5. 저장을 클릭합니다.

선택사항: 자체 관리 Amazon S3 버킷에 필요한 인증

  1. Cisco Umbrella 대시보드에서 Admin > Log management > Amazon S3를 선택합니다.
  2. 버킷 이름 필드에 정확한 Amazon S3 버킷 이름을 지정한 다음 확인을 클릭합니다.
  3. 인증 절차의 일환으로 README_FROM_UMBRELLA.txt라는 파일이 Cisco Umbrella에서 Amazon S3 버킷으로 업로드됩니다. 업로드된 readme 파일을 보려면 브라우저를 새로고침해야 할 수 있습니다.
  4. README_FROM_UMBRELLA.txt 파일을 다운로드하고 텍스트 편집기를 사용하여 엽니다.
  5. 파일에서 고유한 Cisco Umbrella 토큰을 복사하여 저장합니다.
  6. Cisco Umbrella 대시보드로 이동합니다.
  7. 토큰 번호 필드에 토큰을 지정하고 저장을 클릭합니다.
  8. 인증에 성공하면 버킷이 인증되었음을 알리는 확인 메시지가 대시보드에 표시됩니다. 버킷을 확인할 수 없다는 오류가 표시되면 버킷 이름의 구문을 다시 확인하고 구성을 검토하세요.

Cisco Umbrella Web Proxy 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정> 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다(예: Cisco Umbrella 웹 프록시 로그).
  4. 소스 유형으로 Amazon S3 V2를 선택합니다.
  5. 로그 유형으로 Cisco Umbrella 웹 프록시를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 매개변수의 값을 지정합니다.

    • S3 URI: 버킷 URI입니다.
      • s3:/BUCKET_NAME
        • BUCKET_NAME을 버킷의 실제 이름으로 바꿉니다.
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
  8. 다음을 클릭합니다.

  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
ampDisposition security_result.detection_fields[].value 원시 로그의 ampDisposition 값입니다.
ampMalware security_result.detection_fields[].value 원시 로그의 ampMalware 값입니다.
ampScore security_result.detection_fields[].value 원시 로그의 ampScore 값입니다.
avDetections security_result.detection_fields[].value 원시 로그의 avDetections 값입니다.
blockedCategories security_result.threat_name 원시 로그의 blockedCategories 값입니다.
certificateErrors security_result.detection_fields[].value 원시 로그의 certificateErrors 값입니다.
contentType security_result.detection_fields[].value 원시 로그의 contentType 값입니다.
destinationIp target.ip 원시 로그의 destinationIp 값입니다.
destinationListID security_result.detection_fields[].value 원시 로그의 destinationListID 값입니다.
dlpstatus security_result.detection_fields[].value 원시 로그의 dlpstatus 값입니다.
externalIp principal.ip 원시 로그의 externalIp 값입니다.
fileAction security_result.detection_fields[].value 원시 로그의 fileAction 값입니다.
fileName target.file.names 원시 로그의 fileName 값입니다.
identitiesV8 principal.hostname 원시 로그의 identitiesV8 값입니다.
identity principal.location.name 원시 로그의 identity 값입니다.
internalIp principal.ip 원시 로그의 internalIp 값입니다.
isolateAction security_result.detection_fields[].value 원시 로그의 isolateAction 값입니다.
referer network.http.referral_url 원시 로그의 referer 값입니다.
requestMethod network.http.method 원시 로그의 requestMethod 값입니다.
requestSize security_result.detection_fields[].value 원시 로그의 requestSize 값입니다.
responseBodySize security_result.detection_fields[].value 원시 로그의 responseBodySize 값입니다.
responseSize security_result.detection_fields[].value 원시 로그의 responseSize 값입니다.
ruleID security_result.rule_id 원시 로그의 ruleID 값입니다.
rulesetID security_result.detection_fields[].value 원시 로그의 rulesetID 값입니다.
sha security_result.about.file.sha256 원시 로그의 sha 값입니다.
statusCode network.http.response_code 원시 로그의 statusCode 값입니다.
ts timestamp 원시 로그의 ts 값으로, 타임스탬프로 파싱됩니다.
url target.url 원시 로그의 url 값입니다.
userAgent network.http.user_agent 원시 로그의 userAgent 값입니다.
verdict security_result.detection_fields[].value 원시 로그의 verdict 값입니다.
warnstatus security_result.detection_fields[].value 원시 로그의 warnstatus 값입니다. 원시 로그의 collection_time 값입니다. NETWORK_HTTP로 하드코딩되었습니다. Cisco로 하드코딩되었습니다. Umbrella로 하드코딩되었습니다. UMBRELLA_WEBPROXY로 하드코딩되었습니다. URL 필드 (http 또는 https)의 스키마에서 파생됩니다. 사용자 에이전트 파싱 라이브러리를 사용하여 userAgent 필드에서 파싱됩니다. 원시 로그의 requestSize 값이 정수로 변환됩니다. 원시 로그의 responseSize 값이 정수로 변환됩니다. identityType (또는 identitiesV8이 있는 identityTypeV8)이 사용자를 나타내는 경우 identity 필드에서 파생됩니다. 표시 이름, 이름, 성, 이메일 주소와 같은 사용자 세부정보를 추출하기 위해 추가로 파싱됩니다. verdict 필드에서 매핑됨: allowed 또는 allowed -> ALLOW, 기타 값 -> BLOCK categories이 비어 있지 않으면 NETWORK_CATEGORIZED_CONTENT로 설정합니다. 원시 로그의 categories 값입니다. verdict 및 기타 필드를 기반으로 합니다. 일반적으로 Traffic allowed 또는 Traffic blocked입니다. verdictallowed 또는 blocked이 아니고 statusCode이 있으면 요약은 Traffic %{statusCode}입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.