Cohesity ログを収集する

以下でサポートされています。

概要

このパーサーは、grok パターンを使用して Cohesity バックアップ ソフトウェアの syslog メッセージからフィールドを抽出します。標準の syslog メッセージと JSON 形式のログの両方を処理し、抽出されたフィールドを UDM にマッピングし、プリンシパルとターゲット ID の有無に基づいて event_type を動的に割り当てます。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Cohesity 管理への特権アクセス権があることを確認します。

Cohesity ログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Cohesity Logs)。
  4. [ソースタイプ] として [Webhook] を選択します。
  5. [Log type] で [Cohesity] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • 分割区切り文字: ログ行を区切るために使用される区切り文字(\n など)。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. シークレット キーをコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
  12. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、クライアント アプリケーションで指定する必要があります。
  13. [完了] をクリックします。

Webhook フィードの API キーを作成する

  1. Google Cloud コンソール > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] をクリックして [API キー] を選択します。

  3. API キーによる Chronicle API へのアクセスを制限します。

エンドポイント URL を指定する

  1. クライアント アプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。

  2. 次の形式でカスタム ヘッダーの一部として API キーとシークレット キーを指定して、認証を有効にします。

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    推奨事項: API キーは URL ではなくヘッダーとして指定してください。

  3. Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーとシークレット キーを指定できます。

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    次のように置き換えます。

    • ENDPOINT_URL: フィードのエンドポイント URL。
    • API_KEY: Google SecOps に対する認証に使用する API キー。
    • SECRET: フィードの認証用に生成したシークレット キー。

Google SecOps 用に Cohesity で Webhook を構成する

  1. Cohesity クラスタ管理にログインします。
  2. [保護ジョブ] セクションに移動します。
  3. Webhook を構成する保護ジョブを選択します。
  4. 保護ジョブの横にある [操作] メニュー(縦に並んだ 3 つの点)> [編集] をクリックします。
  5. [アラート] タブを選択します。
  6. [+ Webhook を追加] をクリックします。
  7. 次のパラメータの値を指定します。
    • 名前: Webhook のわかりやすい名前を指定します(例: Google SecOps)。
    • URL: Google SecOps の <ENDPOINT_URL> を入力します。
    • メソッド: [POST] を選択します。
    • Content Type: [application/json] を選択します。
    • ペイロード: このフィールドは、送信する特定のデータによって異なります。
    • Webhook を有効にする: チェックボックスをオンにして Webhook を有効にします。
  8. 構成を保存する: [保存] をクリックして、Webhook 構成を保護ジョブに適用します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
ClientIP principal.asset.ip ClientIP フィールドから直接マッピングされます。
ClientIP principal.ip ClientIP フィールドから直接マッピングされます。
description security_result.description description フィールドから直接マッピングされます。
DomainName target.asset.hostname DomainName フィールドから直接マッピングされます。
DomainName target.hostname DomainName フィールドから直接マッピングされます。
EntityPath target.url EntityPath フィールドから直接マッピングされます。
host principal.asset.hostname host フィールドから直接マッピングされます。
host principal.hostname host フィールドから直接マッピングされます。タイムスタンプに解析された後、ts フィールドからコピーされます。principal_mid_presenttarget_mid_presentprincipal_user_present の有無に基づいてパーサー ロジックによって決定されます。指定できる値: NETWORK_CONNECTIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。「Cohesity」にハードコードされました。
product_event_type metadata.product_event_type product_event_type フィールドから直接マッピングされます。「COHESITY」にハードコードされています。
pid principal.process.pid pid フィールドから直接マッピングされます。
Protocol network.application_protocol Protocol フィールドから直接マッピングされ、大文字に変換されます。
RecordID additional.fields(キー: "RecordID"、値: RecordID RecordID フィールドから直接マッピングされ、additional.fields の下にネストされています。
RequestType security_result.detection_fields(キー: "RequestType"、値: RequestType RequestType フィールドから直接マッピングされ、security_result.detection_fields の下にネストされています。
Result security_result.summary Result フィールドから直接マッピングされます。
sha_value additional.fields(キー:「SHA256」、値: sha_value sha_value フィールドから直接マッピングされ、additional.fields の下にネストされています。
target_ip target.asset.ip target_ip フィールドから直接マッピングされます。
target_ip target.ip target_ip フィールドから直接マッピングされます。
target_port target.port target_port フィールドから直接マッピングされ、整数に変換されます。
Timestamp metadata.collected_timestamp タイムスタンプに解析された後、Timestamp フィールドから直接マッピングされます。
ts events.timestamp タイムスタンプに解析された後、ts フィールドから直接マッピングされます。
UserID principal.user.userid UserID フィールドから直接マッピングされ、文字列に変換されます。
UserName principal.user.user_display_name UserName フィールドから直接マッピングされます。
UserSID principal.user.windows_sid UserSID フィールドから直接マッピングされます。

変更点

2024-09-24

  • JSON ログをフォーマットするための「gsub」を削除しました。

2024-09-10

  • ログから不要な文字を削除する「gsub」を追加しました。
  • 「prin_ip」を「principal.ip」にマッピングしました。

2024-07-28

  • 「EntityId」と「RegisteredSource.EntityId」を「principal.user.userid」にマッピングしました。
  • 「Description」と「EventMessage」を「metadata.description」にマッピングしました。
  • 「IP」を「principal.ip」と「principal.asset.ip」にマッピングしました。
  • 「User」を「principal.user.user_display_name」にマッピングしました。
  • 「Action」、「Domain」、「ServiceContext」、「AttributeMap.AttemptNum」、「cluster_id」、「cluster_name」、「ClusterInfo.ClusterId」、「ClusterInfo.ClusterName」、「TaskId」、「EntityName」、「EntityType」、「BackupJobId」、「BackupJobName」、「EnvironmentType」、「RegisteredSource.EntityName」、「RegisteredSource.EntityType」、「AttributeMap.BridgeConstituent」、「ReplicationTarget.ClusterName」、「ReplicationTarget.ClusterId」を「additional.fields」にマッピングしました。

2024-05-16

  • 新しく作成されたパーサー。