Raccogliere i log di CloudPassage Halo

Supportato in:

Questo codice dell'analizzatore sintattico Logstash trasforma i dati dei log JSON di CloudPassage Halo in un modello dei dati unificato (UDM). Estrae i campi pertinenti dai log non elaborati, normalizza i timestamp, mappa i dati ai campi UDM e arricchisce gli eventi con un contesto aggiuntivo, come la gravità e le informazioni sull'utente.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a CloudPassage Halo.

Configurazione di una chiave API in CloudPassage

  1. Accedi a CloudPassage Halo.
  2. Vai a Impostazioni > Amministrazione sito.
  3. Fai clic sulla scheda Chiavi API.
  4. Fai clic su Azioni > Nuova chiave API.
  5. Fai clic su Mostra per la chiave nella scheda Chiavi API per visualizzare i valori.
  6. Copia sia il valore Key ID (ID chiave) che il valore Secret Key (Chiave segreta).

Configura un feed in Google SecOps per importare i log di CloudPassage

  1. Fai clic su Aggiungi nuova.
  2. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log CloudPassage).
  3. Seleziona API di terze parti come Tipo di origine.
  4. Seleziona Passaggio cloud come Tipo di log.
  5. Fai clic su Avanti.
  6. Specifica i valori per i seguenti parametri di input:
    • Nome utente: inserisci l'ID chiave.
    • Secret: inserisci la chiave segreta.
    • Tipi di eventi: i tipi di eventi da includere (se non specifichi i tipi di eventi, verranno utilizzati quelli predefiniti dell'elenco).
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  7. Fai clic su Avanti.
  8. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
actor_country principal.location.country_or_region Mappato direttamente dal campo actor_country nel log non elaborato.
actor_ip_address principal.ip Mappato direttamente dal campo actor_ip_address nel log non elaborato.
actor_username principal.user.userid Mappato direttamente dal campo actor_username nel log non elaborato.
created_at metadata.event_timestamp Convertito in formato timestamp UDM dal campo created_at nel log non elaborato.
critico security_result.severity Se critical è true, la gravità è impostata su "CRITICAL". In caso contrario, è impostato su "INFORMATIVO" per gli eventi e calcolato in base al numero di risultati delle scansioni.
ID metadata.product_log_id Mappato direttamente dal campo id nel log non elaborato per gli eventi.
messaggio security_result.description Descrizione estratta dal campo message utilizzando il pattern Grok.
nome security_result.summary Mappato direttamente dal campo name nel log non elaborato per gli eventi.
policy_name security_result.detection_fields.policy_name Mappato direttamente dal campo policy_name nel log non elaborato.
rule_name security_result.rule_name Mappato direttamente dal campo rule_name nel log non elaborato.
scan.created_at metadata.event_timestamp Convertito in formato timestamp UDM dal campo scan.created_at nel log non elaborato per le scansioni.
scan.critical_findings_count security_result.description Utilizzato per calcolare la descrizione degli eventi di scansione. Viene utilizzato anche per determinare il livello di gravità.
scan.module security_result.summary Utilizzato per generare il riepilogo degli eventi di scansione. Convertito in maiuscolo.
scan.non_critical_findings_count security_result.description Utilizzato per calcolare la descrizione degli eventi di scansione. Viene utilizzato anche per determinare il livello di gravità.
scan.ok_findings_count security_result.description Utilizzato per calcolare la descrizione degli eventi di scansione.
scan.server_hostname target.hostname Mappato direttamente dal campo scan.server_hostname nel log non elaborato per le scansioni.
scan.status security_result.summary Utilizzato per generare il riepilogo degli eventi di scansione.
scan.url metadata.url_back_to_product Mappato direttamente dal campo scan.url nel log non elaborato per le scansioni.
server_group_name target.group.attribute.labels.server_group_name Mappato direttamente dal campo server_group_name nel log non elaborato.
server_group_path target.group.product_object_id Mappato direttamente dal campo server_group_path nel log non elaborato.
server_hostname target.hostname Mappato direttamente dal campo server_hostname nel log non elaborato per gli eventi.
server_ip_address target.ip Mappato direttamente dal campo server_ip_address nel log non elaborato.
server_platform target.platform Mappato direttamente dal campo server_platform nel log non elaborato. Convertito in maiuscolo.
server_primary_ip_address target.ip Mappato direttamente dal campo server_primary_ip_address nel log non elaborato.
server_reported_fqdn network.dns.authority.name Mappato direttamente dal campo server_reported_fqdn nel log non elaborato.
target_username target.user.userid Mappato direttamente dal campo target_username nel log non elaborato.
metadata.event_type Imposta su "SCAN_UNCATEGORIZED" per gli eventi e su "SCAN_HOST" per le scansioni.
metadata.log_type Impostato su "CLOUD_PASSAGE".
metadata.product_name Impostato su "HALO".
metadata.vendor_name Imposta su "CLOUDPASSAGE".
principal.hostname Copiato da target.hostname.
security_result.action Impostato su "UNKNOWN_ACTION".
security_result.category Impostato su "POLICY_VIOLATION".
is_alert Imposta su true se security_result.severity è "CRITICAL".
is_significant Imposta su true se security_result.severity è "CRITICAL".

Modifiche

2022-06-30

  • Miglioramento
  • "policy_name" è stato mappato a "security_result.detection_fields".
  • "server_group_name" è stato mappato a "target.group.attribute.labels".
  • "server_group_path" è stato mappato a "target.group.product_object_id".
  • È stato aggiunto il pattern Grok per ottenere la "descrizione".