Cisco Umbrella Web Proxy 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 AWS S3 버킷을 사용하여 Cisco Umbrella 웹 프록시 로그를 Google Security Operations 피드로 수집하는 방법을 설명합니다. 파서는 CSV 로그에서 필드를 추출하여 명확성을 위해 열 이름을 바꾸고 입력 데이터의 잠재적 변동을 처리합니다. 그런 다음 포함된 파일 (umbrella_proxy_udm.include
및 umbrella_handle_identities.include
)을 사용하여 추출된 필드를 UDM에 매핑하고 identityType
필드를 기반으로 ID 정보를 처리합니다.
시작하기 전에
- Google SecOps 인스턴스가 있는지 확인합니다.
- AWS IAM 및 S3에 대한 권한이 있는지 확인합니다.
- Cisco Umbrella에 대한 권한 액세스 권한이 있는지 확인합니다.
Cisco 관리 Amazon S3 버킷 구성
- Cisco Umbrella 대시보드에 로그인합니다.
- 관리 > 로그 관리로 이동합니다.
- Cisco 관리 Amazon S3 버킷 사용 옵션을 선택합니다.
- 다음 구성 세부정보를 제공합니다.
- 리전 선택: 지연 시간을 줄이려면 내 위치와 가까운 리전을 선택합니다.
- 보관 기간 선택: 기간을 선택합니다. 보관 기간은 7일, 14일 또는 30일입니다. 선택한 기간이 지나면 데이터가 삭제되어 복구할 수 없습니다. 수집 주기가 정기적인 경우 더 짧은 기간을 사용하세요. 보관 기간은 나중에 변경할 수 있습니다.
- 저장을 클릭합니다.
- 계속을 클릭하여 선택한 내용을 확인하고 활성화 알림을 받습니다.
활성화 완료 창이 표시되면 액세스 키 및 보안 비밀 키 값이 표시됩니다. - 액세스 키 및 보안 비밀 키 값을 복사합니다. 이러한 키를 분실한 경우 다시 생성해야 합니다.
- 확인 > 계속을 클릭합니다.
- 요약 페이지에 구성과 버킷 이름이 표시됩니다. 조직의 요구사항에 따라 로깅을 사용 중지하거나 사용 설정할 수 있습니다. 하지만 새 데이터가 추가되더라도 보관 기간에 따라 로그가 삭제됩니다.
선택사항: 자체 관리 AWS S3 버킷의 사용자 액세스 키 구성
- AWS 관리 콘솔에 로그인합니다.
- 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
- 생성된 사용자를 선택합니다.
- 보안 사용자 인증 정보 탭을 선택합니다.
- 액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
- 사용 사례로 서드 파티 서비스를 선택합니다.
- 다음을 클릭합니다.
- 선택사항: 설명 태그를 추가합니다.
- 액세스 키 만들기를 클릭합니다.
- CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 비밀 액세스 키를 저장합니다.
- 완료를 클릭합니다.
- 권한 탭을 선택합니다.
- 권한 정책 섹션에서 권한 추가를 클릭합니다.
- 권한 추가를 선택합니다.
- 정책 직접 연결을 선택합니다.
- AmazonS3FullAccess 정책을 검색하여 선택합니다.
- 다음을 클릭합니다.
- 권한 추가를 클릭합니다.
선택사항: 자체 관리 Amazon S3 버킷 구성
AWS 관리 콘솔에 로그인합니다.
S3로 이동합니다.
버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 버킷 이름: Amazon S3 버킷의 이름을 제공합니다.
- 리전: 리전을 선택합니다.
만들기를 클릭합니다.
선택사항: 자체 관리 AWS S3 버킷의 버킷 정책 구성
- 새로 만든 버킷을 클릭하여 엽니다.
- 속성> 권한을 선택합니다.
- 권한 목록에서 버킷 정책 추가를 클릭합니다.
다음과 같이 사전 구성된 버킷 정책을 입력합니다.
{ "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*" }, { "Sid": "", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*"}, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::BUCKET_NAME" }, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::BUCKET_NAME" } ] }
BUCKET_NAME
을 제공한 Amazon S3 버킷 이름으로 바꿉니다.
저장을 클릭합니다.
선택사항: 자체 관리 Amazon S3 버킷에 필요한 인증
- Cisco Umbrella 대시보드에서 Admin > Log management > Amazon S3를 선택합니다.
- 버킷 이름 필드에 정확한 Amazon S3 버킷 이름을 지정한 다음 확인을 클릭합니다.
- 인증 절차의 일환으로
README_FROM_UMBRELLA.txt
라는 파일이 Cisco Umbrella에서 Amazon S3 버킷으로 업로드됩니다. 업로드된 readme 파일을 보려면 브라우저를 새로고침해야 할 수 있습니다. README_FROM_UMBRELLA.txt
파일을 다운로드하고 텍스트 편집기를 사용하여 엽니다.- 파일에서 고유한 Cisco Umbrella 토큰을 복사하여 저장합니다.
- Cisco Umbrella 대시보드로 이동합니다.
- 토큰 번호 필드에 토큰을 지정하고 저장을 클릭합니다.
- 인증에 성공하면 버킷이 인증되었음을 알리는 확인 메시지가 대시보드에 표시됩니다. 버킷을 확인할 수 없다는 오류가 표시되면 버킷 이름의 구문을 다시 확인하고 구성을 검토하세요.
Cisco Umbrella Web Proxy 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예: Cisco Umbrella 웹 프록시 로그).
- 소스 유형으로 Amazon S3 V2를 선택합니다.
- 로그 유형으로 Cisco Umbrella 웹 프록시를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- S3 URI: 버킷 URI입니다.
s3:/BUCKET_NAME
BUCKET_NAME
을 버킷의 실제 이름으로 바꿉니다.
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- S3 URI: 버킷 URI입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
ampDisposition |
security_result.detection_fields[].value |
원시 로그의 ampDisposition 값입니다. |
ampMalware |
security_result.detection_fields[].value |
원시 로그의 ampMalware 값입니다. |
ampScore |
security_result.detection_fields[].value |
원시 로그의 ampScore 값입니다. |
avDetections |
security_result.detection_fields[].value |
원시 로그의 avDetections 값입니다. |
blockedCategories |
security_result.threat_name |
원시 로그의 blockedCategories 값입니다. |
certificateErrors |
security_result.detection_fields[].value |
원시 로그의 certificateErrors 값입니다. |
contentType |
security_result.detection_fields[].value |
원시 로그의 contentType 값입니다. |
destinationIp |
target.ip |
원시 로그의 destinationIp 값입니다. |
destinationListID |
security_result.detection_fields[].value |
원시 로그의 destinationListID 값입니다. |
dlpstatus |
security_result.detection_fields[].value |
원시 로그의 dlpstatus 값입니다. |
externalIp |
principal.ip |
원시 로그의 externalIp 값입니다. |
fileAction |
security_result.detection_fields[].value |
원시 로그의 fileAction 값입니다. |
fileName |
target.file.names |
원시 로그의 fileName 값입니다. |
identitiesV8 |
principal.hostname |
원시 로그의 identitiesV8 값입니다. |
identity |
principal.location.name |
원시 로그의 identity 값입니다. |
internalIp |
principal.ip |
원시 로그의 internalIp 값입니다. |
isolateAction |
security_result.detection_fields[].value |
원시 로그의 isolateAction 값입니다. |
referer |
network.http.referral_url |
원시 로그의 referer 값입니다. |
requestMethod |
network.http.method |
원시 로그의 requestMethod 값입니다. |
requestSize |
security_result.detection_fields[].value |
원시 로그의 requestSize 값입니다. |
responseBodySize |
security_result.detection_fields[].value |
원시 로그의 responseBodySize 값입니다. |
responseSize |
security_result.detection_fields[].value |
원시 로그의 responseSize 값입니다. |
ruleID |
security_result.rule_id |
원시 로그의 ruleID 값입니다. |
rulesetID |
security_result.detection_fields[].value |
원시 로그의 rulesetID 값입니다. |
sha |
security_result.about.file.sha256 |
원시 로그의 sha 값입니다. |
statusCode |
network.http.response_code |
원시 로그의 statusCode 값입니다. |
ts |
timestamp |
원시 로그의 ts 값으로, 타임스탬프로 파싱됩니다. |
url |
target.url |
원시 로그의 url 값입니다. |
userAgent |
network.http.user_agent |
원시 로그의 userAgent 값입니다. |
verdict |
security_result.detection_fields[].value |
원시 로그의 verdict 값입니다. |
warnstatus |
security_result.detection_fields[].value |
원시 로그의 warnstatus 값입니다. 원시 로그의 collection_time 값입니다. NETWORK_HTTP 로 하드코딩되었습니다. Cisco 로 하드코딩되었습니다. Umbrella 로 하드코딩되었습니다. UMBRELLA_WEBPROXY 로 하드코딩되었습니다. URL 필드 (http 또는 https )의 스키마에서 파생됩니다. 사용자 에이전트 파싱 라이브러리를 사용하여 userAgent 필드에서 파싱됩니다. 원시 로그의 requestSize 값이 정수로 변환됩니다. 원시 로그의 responseSize 값이 정수로 변환됩니다. identityType (또는 identitiesV8 이 있는 identityTypeV8 )이 사용자를 나타내는 경우 identity 필드에서 파생됩니다. 표시 이름, 이름, 성, 이메일 주소와 같은 사용자 세부정보를 추출하기 위해 추가로 파싱됩니다. verdict 필드에서 매핑됨: allowed 또는 allowed -> ALLOW , 기타 값 -> BLOCK categories 이 비어 있지 않으면 NETWORK_CATEGORIZED_CONTENT 로 설정합니다. 원시 로그의 categories 값입니다. verdict 및 기타 필드를 기반으로 합니다. 일반적으로 Traffic allowed 또는 Traffic blocked 입니다. verdict 이 allowed 또는 blocked 이 아니고 statusCode 이 있으면 요약은 Traffic %{statusCode} 입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.