Esta página foi traduzida pela API Cloud Translation.

Recolha registos do proxy Web do Cisco Umbrella

Compatível com:

Google secops SIEM

Este documento explica como recolher registos do proxy Web do Cisco Umbrella para um feed do Google Security Operations através do contentor do AWS S3. O analisador extrai campos de um registo CSV, mudando o nome das colunas para maior clareza e processando potenciais variações nos dados de entrada. Em seguida, usa os ficheiros incluídos (umbrella_proxy_udm.include e umbrella_handle_identities.include) para mapear os campos extraídos para o UDM e processar as informações de identidade com base no campo identityType.

Antes de começar

Certifique-se de que tem uma instância do Google SecOps.
Certifique-se de que tem acesso privilegiado ao AWS IAM e ao S3.
Certifique-se de que tem acesso privilegiado ao Cisco Umbrella.

Configure um contentor do Amazon S3 gerido pela Cisco

Inicie sessão no painel de controlo do Cisco Umbrella.
Aceda a Administração > Gestão de registos.
Selecione a opção Usar um contentor do Amazon S3 gerido pela Cisco.
Indique os seguintes detalhes de configuração:
- Selecione uma região: selecione uma região mais próxima da sua localização para uma latência mais baixa.
- Selecione uma duração de retenção: selecione o período. A duração da retenção é de 7, 14 ou 30 dias. Após o período selecionado, os dados são eliminados e não podem ser recuperados. Se o ciclo de carregamento for regular, use um período mais curto. Pode alterar a duração da retenção mais tarde.
Clique em Guardar.
Clique em Continuar para confirmar as seleções e receber a notificação de ativação.
Na janela Ativação concluída apresentada, são apresentados os valores da chave de acesso e da chave secreta.
Copie os valores da Chave de acesso e da Chave secreta. Se perder estas chaves, tem de as regenerar.
Clique em OK > Continuar.
É apresentada uma página de resumo com a configuração e o nome do seu contentor. Pode ativar ou desativar o registo conforme exigido pela sua organização. No entanto, os registos são anulados com base na duração da retenção, independentemente da adição de novos dados.

Opcional: configure as chaves de acesso do utilizador para o contentor do AWS S3 autogerido

Inicie sessão na AWS Management Console.
Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
Selecione o utilizador criado.
Selecione o separador Credenciais de segurança.
Clique em Criar chave de acesso na secção Chaves de acesso.
Selecione Serviço de terceiros como o Exemplo de utilização.
Clicar em Seguinte.
Opcional: adicione uma etiqueta de descrição.
Clique em Criar chave de acesso.
Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para utilização posterior.
Clique em Concluído.
Selecione o separador Autorizações.
Clique em Adicionar autorizações na secção Políticas de autorizações.
Selecione Adicionar autorizações.
Selecione Anexar políticas diretamente.
Pesquise e selecione a política AmazonS3FullAccess.
Clicar em Seguinte.
Clique em Adicionar autorizações.

Opcional: configure um contentor do Amazon S3 autogerido

Inicie sessão na AWS Management Console.

Nota: para mais informações sobre a criação de contentores do S3, consulte o artigo Crie um contentor.
Aceda ao S3.
Clique em Criar contentor.
Faculte os seguintes detalhes de configuração:
- Nome do contentor: indique um nome para o contentor do Amazon S3.
- Região: selecione uma região.
Clique em Criar.

Opcional: configure uma política de contentor para o contentor do AWS S3 autogerido

Clique no contentor recém-criado para o abrir.
Selecione Propriedades > Autorizações.
Na lista Autorizações, clique em Adicionar política de contentor.

Introduza a política de contentores pré-configurada da seguinte forma:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"
    },
    {
      "Sid": "",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    },
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    }
  ]
}

Substitua BUCKET_NAME pelo nome do contentor do Amazon S3 que indicou.

Clique em Guardar.

Opcional: validação obrigatória para o contentor do Amazon S3 autogerido

No painel de controlo do Cisco Umbrella, selecione Admin > Gestão de registos > Amazon S3.
No campo Nome do contentor, especifique o nome exato do contentor do Amazon S3 e, de seguida, clique em Validar.
Como parte do processo de validação, é carregado um ficheiro denominado README_FROM_UMBRELLA.txt do Cisco Umbrella para o seu contentor do Amazon S3. Pode ter de atualizar o navegador para ver o ficheiro Readme quando for carregado.
Transfira o ficheiro README_FROM_UMBRELLA.txt e abra-o com um editor de texto.
Copie e guarde o token exclusivo do Cisco Umbrella do ficheiro.
Aceda ao painel de controlo do Cisco Umbrella.
No campo Número do token, especifique o token e clique em Guardar.
Se for bem-sucedida, recebe uma mensagem de confirmação no painel de controlo a indicar que o contentor foi validado com êxito. Se receber um erro a indicar que não é possível validar o seu contentor, verifique novamente a sintaxe do nome do contentor e reveja a configuração.

Configure um feed no Google SecOps para carregar os registos do proxy Web do Cisco Umbrella

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do proxy Web do Cisco Umbrella.
Selecione Amazon S3 V2 como o Tipo de origem.
Selecione Cisco Umbrella Web Proxy como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- URI do S3: o URI do contentor.
  - s3:/BUCKET_NAME
    - Substitua BUCKET_NAME pelo nome real do contentor.
- Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Nota: se selecionar a opção Delete transferred files ou Delete transferred files and empty directories, certifique-se de que concedeu as autorizações adequadas à conta de serviço. * Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias. * ID da chave de acesso: introduza a chave de acesso do utilizador com acesso ao contentor do S3. * Chave de acesso secreta: introduza a chave secreta do utilizador com acesso ao contentor do S3. * Opcional: Espaço de nomes do recurso: indique o espaço de nomes do recurso. * Opcional: Etiquetas de carregamento: indique a etiqueta a aplicar aos eventos deste feed.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`ampDisposition`	`security_result.detection_fields[].value`	O valor de `ampDisposition` do registo não processado.
`ampMalware`	`security_result.detection_fields[].value`	O valor de `ampMalware` do registo não processado.
`ampScore`	`security_result.detection_fields[].value`	O valor de `ampScore` do registo não processado.
`avDetections`	`security_result.detection_fields[].value`	O valor de `avDetections` do registo não processado.
`blockedCategories`	`security_result.threat_name`	O valor de `blockedCategories` do registo não processado.
`certificateErrors`	`security_result.detection_fields[].value`	O valor de `certificateErrors` do registo não processado.
`contentType`	`security_result.detection_fields[].value`	O valor de `contentType` do registo não processado.
`destinationIp`	`target.ip`	O valor de `destinationIp` do registo não processado.
`destinationListID`	`security_result.detection_fields[].value`	O valor de `destinationListID` do registo não processado.
`dlpstatus`	`security_result.detection_fields[].value`	O valor de `dlpstatus` do registo não processado.
`externalIp`	`principal.ip`	O valor de `externalIp` do registo não processado.
`fileAction`	`security_result.detection_fields[].value`	O valor de `fileAction` do registo não processado.
`fileName`	`target.file.names`	O valor de `fileName` do registo não processado.
`identitiesV8`	`principal.hostname`	O valor de `identitiesV8` do registo não processado.
`identity`	`principal.location.name`	O valor de `identity` do registo não processado.
`internalIp`	`principal.ip`	O valor de `internalIp` do registo não processado.
`isolateAction`	`security_result.detection_fields[].value`	O valor de `isolateAction` do registo não processado.
`referer`	`network.http.referral_url`	O valor de `referer` do registo não processado.
`requestMethod`	`network.http.method`	O valor de `requestMethod` do registo não processado.
`requestSize`	`security_result.detection_fields[].value`	O valor de `requestSize` do registo não processado.
`responseBodySize`	`security_result.detection_fields[].value`	O valor de `responseBodySize` do registo não processado.
`responseSize`	`security_result.detection_fields[].value`	O valor de `responseSize` do registo não processado.
`ruleID`	`security_result.rule_id`	O valor de `ruleID` do registo não processado.
`rulesetID`	`security_result.detection_fields[].value`	O valor de `rulesetID` do registo não processado.
`sha`	`security_result.about.file.sha256`	O valor de `sha` do registo não processado.
`statusCode`	`network.http.response_code`	O valor de `statusCode` do registo não processado.
`ts`	`timestamp`	O valor de `ts` do registo não processado, analisado num registo de data/hora.
`url`	`target.url`	O valor de `url` do registo não processado.
`userAgent`	`network.http.user_agent`	O valor de `userAgent` do registo não processado.
`verdict`	`security_result.detection_fields[].value`	O valor de `verdict` do registo não processado.
`warnstatus`	`security_result.detection_fields[].value`	O valor de `warnstatus` do registo não processado. O valor de `collection_time` do registo não processado. Codificado para `NETWORK_HTTP`. Codificado para `Cisco`. Codificado para `Umbrella`. Codificado para `UMBRELLA_WEBPROXY`. Derivado do esquema do campo URL (`http` ou `https`). Analisado a partir do campo `userAgent` através de uma biblioteca de análise do agente do utilizador. O valor de `requestSize` do registo não processado, convertido num número inteiro. O valor de `responseSize` do registo não processado, convertido num número inteiro. Derivado do campo `identity` quando `identityType` (ou `identityTypeV8` com `identitiesV8`) indica um utilizador. Analisados mais detalhadamente para extrair detalhes do utilizador, como o nome a apresentar, o nome próprio, o apelido e o endereço de email. Mapeado a partir do campo `verdict`: `allowed` ou `allowed` -> `ALLOW`, outros valores -> `BLOCK`. Se `categories` não estiver vazio, defina como `NETWORK_CATEGORIZED_CONTENT`. O valor de `categories` do registo não processado. Com base no `verdict` e, potencialmente, noutros campos. Normalmente, `Traffic allowed` ou `Traffic blocked`. Se `verdict` não for `allowed` nem `blocked` e `statusCode` estiver presente, o resumo é `Traffic %{statusCode}`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.