Mengumpulkan log CloudPassage Halo
Didukung di:
Google SecOps
SIEM
Kode parser Logstash ini mengubah data log JSON CloudPassage Halo menjadi model data terpadu (UDM). Proses ini mengekstrak kolom yang relevan dari log mentah, menormalisasi stempel waktu, memetakan data ke kolom UDM, dan memperkaya peristiwa dengan konteks tambahan seperti tingkat keparahan dan informasi pengguna.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke CloudPassage Halo.
Mengonfigurasi kunci API di CloudPassage
- Login ke CloudPassage Halo.
- Buka Setelan > Administrasi Situs.
- Klik tab API Keys.
- Klik Tindakan > Kunci API Baru.
- Klik Tampilkan untuk kunci Anda di tab Kunci API untuk menampilkan nilai.
- Salin nilai ID Kunci dan Kunci Rahasia.
Mengonfigurasi feed di Google SecOps untuk menyerap log CloudPassage
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya, CloudPassage Logs).
- Pilih Third party API sebagai Source type.
- Pilih Cloud Passage sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Nama pengguna: masukkan ID Kunci.
- Secret: masukkan Secret Key.
- Jenis Peristiwa: jenis peristiwa yang akan disertakan (jika Anda tidak menentukan jenis peristiwa, peristiwa default dari daftar akan digunakan).
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| actor_country | principal.location.country_or_region | Dipetakan langsung dari kolom actor_country dalam log mentah. |
| actor_ip_address | principal.ip | Dipetakan langsung dari kolom actor_ip_address dalam log mentah. |
| actor_username | principal.user.userid | Dipetakan langsung dari kolom actor_username dalam log mentah. |
| created_at | metadata.event_timestamp | Dikonversi ke format stempel waktu UDM dari kolom created_at dalam log mentah. |
| penting | security_result.severity | Jika critical benar, tingkat keparahan ditetapkan ke "KRITIS". Jika tidak, nilai ini ditetapkan ke "INFORMATIONAL" untuk peristiwa dan dihitung berdasarkan jumlah temuan untuk pemindaian. |
| id | metadata.product_log_id | Dipetakan langsung dari kolom id dalam log mentah untuk peristiwa. |
| pesan | security_result.description | Deskripsi yang diekstrak dari kolom message menggunakan pola grok. |
| nama | security_result.summary | Dipetakan langsung dari kolom name dalam log mentah untuk peristiwa. |
| policy_name | security_result.detection_fields.policy_name | Dipetakan langsung dari kolom policy_name dalam log mentah. |
| rule_name | security_result.rule_name | Dipetakan langsung dari kolom rule_name dalam log mentah. |
| scan.created_at | metadata.event_timestamp | Dikonversi ke format stempel waktu UDM dari kolom scan.created_at dalam log mentah untuk pemindaian. |
| scan.critical_findings_count | security_result.description | Digunakan untuk menghitung deskripsi peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan. |
| scan.module | security_result.summary | Digunakan untuk membuat ringkasan peristiwa pemindaian. Dikonversi ke huruf besar. |
| scan.non_critical_findings_count | security_result.description | Digunakan untuk menghitung deskripsi peristiwa pemindaian. Juga digunakan untuk menentukan tingkat keparahan. |
| scan.ok_findings_count | security_result.description | Digunakan untuk menghitung deskripsi peristiwa pemindaian. |
| scan.server_hostname | target.hostname | Dipetakan langsung dari kolom scan.server_hostname dalam log mentah untuk pemindaian. |
| scan.status | security_result.summary | Digunakan untuk membuat ringkasan peristiwa pemindaian. |
| scan.url | metadata.url_back_to_product | Dipetakan langsung dari kolom scan.url dalam log mentah untuk pemindaian. |
| server_group_name | target.group.attribute.labels.server_group_name | Dipetakan langsung dari kolom server_group_name dalam log mentah. |
| server_group_path | target.group.product_object_id | Dipetakan langsung dari kolom server_group_path dalam log mentah. |
| server_hostname | target.hostname | Dipetakan langsung dari kolom server_hostname dalam log mentah untuk peristiwa. |
| server_ip_address | target.ip | Dipetakan langsung dari kolom server_ip_address dalam log mentah. |
| server_platform | target.platform | Dipetakan langsung dari kolom server_platform dalam log mentah. Dikonversi ke huruf besar. |
| server_primary_ip_address | target.ip | Dipetakan langsung dari kolom server_primary_ip_address dalam log mentah. |
| server_reported_fqdn | network.dns.authority.name | Dipetakan langsung dari kolom server_reported_fqdn dalam log mentah. |
| target_username | target.user.userid | Dipetakan langsung dari kolom target_username dalam log mentah. |
| metadata.event_type | Tetapkan ke "SCAN_UNCATEGORIZED" untuk peristiwa dan "SCAN_HOST" untuk pemindaian. | |
| metadata.log_type | Tetapkan ke "CLOUD_PASSAGE". | |
| metadata.product_name | Tetapkan ke "HALO". | |
| metadata.vendor_name | Tetapkan ke "CLOUDPASSAGE". | |
| principal.hostname | Disalin dari target.hostname. |
|
| security_result.action | Tetapkan ke "UNKNOWN_ACTION". | |
| security_result.category | Tetapkan ke "POLICY_VIOLATION". | |
| is_alert | Tetapkan ke benar jika security_result.severity adalah "KRITIS". |
|
| is_significant | Tetapkan ke benar jika security_result.severity adalah "KRITIS". |
Perubahan
2022-06-30
- Penyempurnaan
- Memetakan "policy_name" ke "security_result.detection_fields".
- Memetakan "server_group_name" ke "target.group.attribute.labels".
- Memetakan "server_group_path" ke "target.group.product_object_id".
- Menambahkan pola grok untuk mendapatkan "deskripsi".
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.