CloudPassage Halo のログを収集する

以下でサポートされています。

この Logstash パーサー コードは、CloudPassage Halo JSON ログデータを統合データモデル(UDM)に変換します。未加工のログから関連するフィールドを抽出し、タイムスタンプを正規化し、データを UDM フィールドにマッピングします。また、重大度やユーザー情報などの追加コンテキストでイベントを拡充します。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • CloudPassage Halo への特権アクセス権があることを確認します。

CloudPassage で API キーを構成する

  1. CloudPassage Halo にログインします。
  2. [設定] > [サイト管理] に移動します。
  3. [API キー] タブをクリックします。
  4. [アクション] > [新しい API キー] をクリックします。
  5. [API キー] タブでキーの [表示] をクリックして値を表示します。
  6. [Key ID] と [Secret Key] の両方の値をコピーします。

CloudPassage のログを取り込むように Google SecOps でフィードを構成する

  1. [新しく追加] をクリックします。
  2. [フィード名] フィールドに、フィードの名前を入力します(例: CloudPassage ログ)。
  3. [ソースタイプ] として [サードパーティ API] を選択します。
  4. [ログタイプ] として [Cloud Passage] を選択します。
  5. [次へ] をクリックします。
  6. 次の入力パラメータの値を指定します。
    • ユーザー名: キー ID を入力します。
    • シークレット: シークレット キーを入力します。
    • イベントタイプ: 含めるイベントのタイプ(イベントタイプを指定しない場合、リストのデフォルト イベントが使用されます)。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  7. [次へ] をクリックします。
  8. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
actor_country principal.location.country_or_region 未加工ログの actor_country フィールドから直接マッピングされます。
actor_ip_address principal.ip 未加工ログの actor_ip_address フィールドから直接マッピングされます。
actor_username principal.user.userid 未加工ログの actor_username フィールドから直接マッピングされます。
created_at metadata.event_timestamp 未加工ログの created_at フィールドから UDM タイムスタンプ形式に変換されます。
重大 security_result.severity critical が true の場合、重大度は「CRITICAL」に設定されます。それ以外の場合は、イベントの場合は「情報」に設定され、スキャンの検出結果数に基づいて計算されます。
id metadata.product_log_id イベントの未加工ログの id フィールドから直接マッピングされます。
message security_result.description Grok パターンを使用して message フィールドから抽出された説明。
name security_result.summary イベントの未加工ログの name フィールドから直接マッピングされます。
policy_name security_result.detection_fields.policy_name 未加工ログの policy_name フィールドから直接マッピングされます。
rule_name security_result.rule_name 未加工ログの rule_name フィールドから直接マッピングされます。
scan.created_at metadata.event_timestamp スキャンの元のログの scan.created_at フィールドから UDM タイムスタンプ形式に変換されます。
scan.critical_findings_count security_result.description スキャン イベントの説明の計算に使用されます。重大度レベルの決定にも使用されます。
scan.module security_result.summary スキャン イベントの概要の生成に使用されます。大文字に変換されます。
scan.non_critical_findings_count security_result.description スキャン イベントの説明の計算に使用されます。重大度レベルの決定にも使用されます。
scan.ok_findings_count security_result.description スキャン イベントの説明の計算に使用されます。
scan.server_hostname target.hostname スキャンの未加工ログの scan.server_hostname フィールドから直接マッピングされます。
scan.status security_result.summary スキャン イベントの概要の生成に使用されます。
scan.url metadata.url_back_to_product スキャンの未加工ログの scan.url フィールドから直接マッピングされます。
server_group_name target.group.attribute.labels.server_group_name 未加工ログの server_group_name フィールドから直接マッピングされます。
server_group_path target.group.product_object_id 未加工ログの server_group_path フィールドから直接マッピングされます。
server_hostname target.hostname イベントの未加工ログの server_hostname フィールドから直接マッピングされます。
server_ip_address target.ip 未加工ログの server_ip_address フィールドから直接マッピングされます。
server_platform target.platform 未加工ログの server_platform フィールドから直接マッピングされます。大文字に変換されます。
server_primary_ip_address target.ip 未加工ログの server_primary_ip_address フィールドから直接マッピングされます。
server_reported_fqdn network.dns.authority.name 未加工ログの server_reported_fqdn フィールドから直接マッピングされます。
target_username target.user.userid 未加工ログの target_username フィールドから直接マッピングされます。
metadata.event_type イベントの場合は「SCAN_UNCATEGORIZED」、スキャンの場合は「SCAN_HOST」に設定します。
metadata.log_type 「CLOUD_PASSAGE」に設定します。
metadata.product_name 「HALO」に設定します。
metadata.vendor_name 「CLOUDPASSAGE」に設定します。
principal.hostname target.hostname からコピーしました。
security_result.action 「UNKNOWN_ACTION」に設定します。
security_result.category 「POLICY_VIOLATION」に設定します。
is_alert security_result.severity が「CRITICAL」の場合は true に設定します。
is_significant security_result.severity が「CRITICAL」の場合は true に設定します。

変更点

2022-06-30

  • 強化
  • 「policy_name」を「security_result.detection_fields」にマッピングしました。
  • 「server_group_name」を「target.group.attribute.labels」にマッピングしました。
  • 「server_group_path」を「target.group.product_object_id」にマッピングしました。
  • 「description」を取得するための grok パターンを追加しました。