Mengumpulkan log CloudPassage Halo

Didukung di:

Kode parser Logstash ini mengubah data log JSON CloudPassage Halo menjadi model data terpadu (UDM). Proses ini mengekstrak kolom yang relevan dari log mentah, menormalisasi stempel waktu, memetakan data ke kolom UDM, dan memperkaya peristiwa dengan konteks tambahan seperti tingkat keparahan dan informasi pengguna.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke CloudPassage Halo.

Mengonfigurasi kunci API di CloudPassage

  1. Login ke CloudPassage Halo.
  2. Buka Setelan > Administrasi Situs.
  3. Klik tab API Keys.
  4. Klik Tindakan > Kunci API Baru.
  5. Klik Tampilkan untuk kunci Anda di tab Kunci API untuk menampilkan nilai.
  6. Salin nilai ID Kunci dan Kunci Rahasia.

Mengonfigurasi feed di Google SecOps untuk menyerap log CloudPassage

  1. Klik Tambahkan baru.
  2. Di kolom Nama feed, masukkan nama untuk feed (misalnya, CloudPassage Logs).
  3. Pilih Third party API sebagai Source type.
  4. Pilih Cloud Passage sebagai Jenis log.
  5. Klik Berikutnya.
  6. Tentukan nilai untuk parameter input berikut:
    • Nama pengguna: masukkan ID Kunci.
    • Secret: masukkan Secret Key.
    • Jenis Peristiwa: jenis peristiwa yang akan disertakan (jika Anda tidak menentukan jenis peristiwa, peristiwa default dari daftar akan digunakan).
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  7. Klik Berikutnya.
  8. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
actor_country principal.location.country_or_region Dipetakan langsung dari kolom actor_country dalam log mentah.
actor_ip_address principal.ip Dipetakan langsung dari kolom actor_ip_address dalam log mentah.
actor_username principal.user.userid Dipetakan langsung dari kolom actor_username dalam log mentah.
created_at metadata.event_timestamp Dikonversi ke format stempel waktu UDM dari kolom created_at dalam log mentah.
penting security_result.severity Jika critical benar, tingkat keparahan ditetapkan ke "KRITIS". Jika tidak, nilai ini ditetapkan ke "INFORMATIONAL" untuk peristiwa dan dihitung berdasarkan jumlah temuan untuk pemindaian.
id metadata.product_log_id Dipetakan langsung dari kolom id dalam log mentah untuk peristiwa.
message security_result.description Deskripsi yang diekstrak dari kolom message menggunakan pola grok.
nama security_result.summary Dipetakan langsung dari kolom name dalam log mentah untuk peristiwa.
policy_name security_result.detection_fields.policy_name Dipetakan langsung dari kolom policy_name dalam log mentah.
rule_name security_result.rule_name Dipetakan langsung dari kolom rule_name dalam log mentah.
scan.created_at metadata.event_timestamp Dikonversi ke format stempel waktu UDM dari kolom scan.created_at dalam log mentah untuk pemindaian.
scan.critical_findings_count security_result.description Digunakan untuk menghitung deskripsi peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan.
scan.module security_result.summary Digunakan untuk membuat ringkasan peristiwa pemindaian. Dikonversi ke huruf besar.
scan.non_critical_findings_count security_result.description Digunakan untuk menghitung deskripsi peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan.
scan.ok_findings_count security_result.description Digunakan untuk menghitung deskripsi peristiwa pemindaian.
scan.server_hostname target.hostname Dipetakan langsung dari kolom scan.server_hostname dalam log mentah untuk pemindaian.
scan.status security_result.summary Digunakan untuk membuat ringkasan peristiwa pemindaian.
scan.url metadata.url_back_to_product Dipetakan langsung dari kolom scan.url dalam log mentah untuk pemindaian.
server_group_name target.group.attribute.labels.server_group_name Dipetakan langsung dari kolom server_group_name dalam log mentah.
server_group_path target.group.product_object_id Dipetakan langsung dari kolom server_group_path dalam log mentah.
server_hostname target.hostname Dipetakan langsung dari kolom server_hostname dalam log mentah untuk peristiwa.
server_ip_address target.ip Dipetakan langsung dari kolom server_ip_address dalam log mentah.
server_platform target.platform Dipetakan langsung dari kolom server_platform dalam log mentah. Dikonversi ke huruf besar.
server_primary_ip_address target.ip Dipetakan langsung dari kolom server_primary_ip_address dalam log mentah.
server_reported_fqdn network.dns.authority.name Dipetakan langsung dari kolom server_reported_fqdn dalam log mentah.
target_username target.user.userid Dipetakan langsung dari kolom target_username dalam log mentah.
metadata.event_type Tetapkan ke "SCAN_UNCATEGORIZED" untuk peristiwa dan "SCAN_HOST" untuk pemindaian.
metadata.log_type Tetapkan ke "CLOUD_PASSAGE".
metadata.product_name Tetapkan ke "HALO".
metadata.vendor_name Tetapkan ke "CLOUDPASSAGE".
principal.hostname Disalin dari target.hostname.
security_result.action Tetapkan ke "UNKNOWN_ACTION".
security_result.category Tetapkan ke "POLICY_VIOLATION".
is_alert Tetapkan ke benar jika security_result.severity adalah "KRITIS".
is_significant Tetapkan ke benar jika security_result.severity adalah "KRITIS".

Perubahan

2022-06-30

  • Penyempurnaan
  • Memetakan "policy_name" ke "security_result.detection_fields".
  • Memetakan "server_group_name" ke "target.group.attribute.labels".
  • Memetakan "server_group_path" ke "target.group.product_object_id".
  • Menambahkan pola grok untuk mendapatkan "deskripsi".