Raccogliere i log di CloudPassage Halo
Supportato in:
Google SecOps
SIEM
Questo codice dell'analizzatore sintattico Logstash trasforma i dati dei log JSON di CloudPassage Halo in un modello dei dati unificato (UDM). Estrae i campi pertinenti dai log non elaborati, normalizza i timestamp, mappa i dati ai campi UDM e arricchisce gli eventi con un contesto aggiuntivo, come la gravità e le informazioni sull'utente.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso con privilegi a CloudPassage Halo.
Configurazione di una chiave API in CloudPassage
- Accedi a CloudPassage Halo.
- Vai a Impostazioni > Amministrazione sito.
- Fai clic sulla scheda Chiavi API.
- Fai clic su Azioni > Nuova chiave API.
- Fai clic su Mostra per la chiave nella scheda Chiavi API per visualizzare i valori.
- Copia sia il valore Key ID (ID chiave) che il valore Secret Key (Chiave segreta).
Configura un feed in Google SecOps per importare i log di CloudPassage
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log CloudPassage).
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Passaggio cloud come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID chiave.
- Secret: inserisci la chiave segreta.
- Tipi di eventi: i tipi di eventi da includere (se non specifichi i tipi di eventi, verranno utilizzati quelli predefiniti dell'elenco).
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
actor_country | principal.location.country_or_region | Mappato direttamente dal campo actor_country nel log non elaborato. |
actor_ip_address | principal.ip | Mappato direttamente dal campo actor_ip_address nel log non elaborato. |
actor_username | principal.user.userid | Mappato direttamente dal campo actor_username nel log non elaborato. |
created_at | metadata.event_timestamp | Convertito in formato timestamp UDM dal campo created_at nel log non elaborato. |
critico | security_result.severity | Se critical è true, la gravità è impostata su "CRITICAL". In caso contrario, è impostato su "INFORMATIVO" per gli eventi e calcolato in base al numero di risultati delle scansioni. |
ID | metadata.product_log_id | Mappato direttamente dal campo id nel log non elaborato per gli eventi. |
messaggio | security_result.description | Descrizione estratta dal campo message utilizzando il pattern Grok. |
nome | security_result.summary | Mappato direttamente dal campo name nel log non elaborato per gli eventi. |
policy_name | security_result.detection_fields.policy_name | Mappato direttamente dal campo policy_name nel log non elaborato. |
rule_name | security_result.rule_name | Mappato direttamente dal campo rule_name nel log non elaborato. |
scan.created_at | metadata.event_timestamp | Convertito in formato timestamp UDM dal campo scan.created_at nel log non elaborato per le scansioni. |
scan.critical_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. Viene utilizzato anche per determinare il livello di gravità. |
scan.module | security_result.summary | Utilizzato per generare il riepilogo degli eventi di scansione. Convertito in maiuscolo. |
scan.non_critical_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. Viene utilizzato anche per determinare il livello di gravità. |
scan.ok_findings_count | security_result.description | Utilizzato per calcolare la descrizione degli eventi di scansione. |
scan.server_hostname | target.hostname | Mappato direttamente dal campo scan.server_hostname nel log non elaborato per le scansioni. |
scan.status | security_result.summary | Utilizzato per generare il riepilogo degli eventi di scansione. |
scan.url | metadata.url_back_to_product | Mappato direttamente dal campo scan.url nel log non elaborato per le scansioni. |
server_group_name | target.group.attribute.labels.server_group_name | Mappato direttamente dal campo server_group_name nel log non elaborato. |
server_group_path | target.group.product_object_id | Mappato direttamente dal campo server_group_path nel log non elaborato. |
server_hostname | target.hostname | Mappato direttamente dal campo server_hostname nel log non elaborato per gli eventi. |
server_ip_address | target.ip | Mappato direttamente dal campo server_ip_address nel log non elaborato. |
server_platform | target.platform | Mappato direttamente dal campo server_platform nel log non elaborato. Convertito in maiuscolo. |
server_primary_ip_address | target.ip | Mappato direttamente dal campo server_primary_ip_address nel log non elaborato. |
server_reported_fqdn | network.dns.authority.name | Mappato direttamente dal campo server_reported_fqdn nel log non elaborato. |
target_username | target.user.userid | Mappato direttamente dal campo target_username nel log non elaborato. |
metadata.event_type | Imposta su "SCAN_UNCATEGORIZED" per gli eventi e su "SCAN_HOST" per le scansioni. | |
metadata.log_type | Impostato su "CLOUD_PASSAGE". | |
metadata.product_name | Impostato su "HALO". | |
metadata.vendor_name | Imposta su "CLOUDPASSAGE". | |
principal.hostname | Copiato da target.hostname . |
|
security_result.action | Impostato su "UNKNOWN_ACTION". | |
security_result.category | Impostato su "POLICY_VIOLATION". | |
is_alert | Imposta su true se security_result.severity è "CRITICAL". |
|
is_significant | Imposta su true se security_result.severity è "CRITICAL". |
Modifiche
2022-06-30
- Miglioramento
- "policy_name" è stato mappato a "security_result.detection_fields".
- "server_group_name" è stato mappato a "target.group.attribute.labels".
- "server_group_path" è stato mappato a "target.group.product_object_id".
- È stato aggiunto il pattern Grok per ottenere la "descrizione".