收集 Lacework Cloud Security 日志

支持的平台:

概览

此解析器会从 Lacework Cloud Security JSON 日志中提取字段,并将其转换为 UDM 格式。它会将原始日志字段映射到 UDM 字段,处理各种数据类型,并使用来自代码的其他上下文丰富事件,最终根据是否存在主账号和目标信息来对事件类型进行分类。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 FortiCNAPP Lacework 的特权访问权限。

在 Google SecOps 中配置 Feed 以提取 Lacework 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Lacework 日志)。
  4. 选择 Webhook 作为来源类型
  5. 选择 Lacework 作为日志类型
  6. 点击下一步
  7. 可选:为以下输入参数指定值:
    • 分隔符:用于分隔日志行(例如 \n)的分隔符。
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看 Feed 配置,然后点击提交
  10. 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
  11. 复制并存储密钥。您将无法再查看此密钥。如有必要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥过时。
  12. 详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
  13. 点击完成

为该 Webhook Feed 创建 API 密钥

  1. 依次前往 Google Cloud 控制台 > 凭据

    转到“凭据”页面

  2. 点击创建凭据,然后选择 API 密钥

  3. 限制 API 密钥对 Chronicle API 的访问权限。

指定端点网址

  1. 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。
  2. 通过在自定义标头中指定 API 密钥和密钥(格式如下)来启用身份验证:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    建议:将 API 密钥作为标头指定,而不是在网址中指定。

  3. 如果您的 webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    替换以下内容:

    • ENDPOINT_URL:Feed 端点网址。
    • API_KEY:用于对 Google SecOps 进行身份验证的 API 密钥。
    • SECRET:您为对 Feed 进行身份验证而生成的密钥。

为 Google SecOps 配置 Lacework Webhook

  1. 使用管理员权限登录 Lacework FortiCNAPP 控制台。
  2. 依次前往设置 > 通知 > 提醒渠道
  3. 点击 + 添加新对比项
  4. 选择 Webhook
  5. 点击下一步
  6. 为渠道指定一个唯一的名称(例如 Google SecOps)。
  7. Webhook 网址:输入 <ENDPOINT_URL>,然后输入 <API_KEY><SECRET>
  8. 点击保存
  9. 选择提醒规则,然后配置所需的提醒路由详细信息。

UDM 映射表

日志字段 UDM 映射 逻辑
AGENT_VERSION metadata.product_version 直接从 AGENT_VERSION 字段映射。
CREATED_TIME metadata.event_timestamp 直接从 CREATED_TIME 字段映射,转换为时间戳。
FILEDATA_HASH target.file.sha256 直接从 FILEDATA_HASH 字段映射。
FILE_PATH target.file.full_path 直接从 FILE_PATH 字段映射。
IP_ADDR principal.ip 直接从 IP_ADDR 字段映射。
OS target.platform OS 字段映射而来。逻辑会将各种操作系统字符串(Linux、Windows、Mac)转换为 UDM 枚举值(LINUX、WINDOWS、MAC)。如果找不到匹配项,则默认为 UNKNOWN_PLATFORM。
STATUS additional.fields[].key:"STATUS", value.string_value 直接从 STATUS 字段映射为其他字段。
TAGS.Account metadata.product_deployment_id 直接从 TAGS.Account 字段映射。
TAGS.AmiId additional.fields[].key:"AmiId", value.string_value 直接从 TAGS.AmiId 字段映射为其他字段。
TAGS.ExternalIp target.ip 直接从 TAGS.ExternalIp 字段映射。
TAGS.Hostname principal.hostname 直接从 TAGS.Hostname 字段映射。
TAGS.InstanceId target.asset_id 直接从 TAGS.InstanceId 字段映射,前缀为“Device Instance Id:”。
TAGS.LwTokenShort additional.fields[].key:"LwTokenShort", value.string_value 直接从 TAGS.LwTokenShort 字段映射为其他字段。
TAGS.MID additional.fields[].key:"MID", value.string_value 直接从 MID 字段映射为其他字段。
TAGS.MODE additional.fields[].key:"MODE", value.string_value 直接从 MODE 字段映射为其他字段。
TAGS.Name additional.fields[].key:"Name", value.string_value 直接从 TAGS.Name 字段映射为其他字段。
TAGS.QSConfigName-vfzg0 additional.fields[].key:"QSConfigName", value.string_value 直接从 TAGS.QSConfigName-vfzg0 字段映射为其他字段。
TAGS.ResourceType target.resource.resource_subtype 直接从 TAGS.ResourceType 字段映射。
TAGS.SubnetId target.resource.attribute.labels[].key:"Subnet Id", value 直接从 TAGS.SubnetId 字段映射为 target.resource.attribute 中的标签。
TAGS.VmInstanceType target.resource.attribute.labels[].key:"VmInstanceType", value 直接从 TAGS.VmInstanceType 字段映射为 target.resource.attribute 中的标签。
TAGS.VmProvider target.resource.attribute.labels[].key:"VmProvider", value 直接从 TAGS.VmProvider 字段映射为 target.resource.attribute 中的标签。
TAGS.VpcId target.resource.product_object_id 直接从 TAGS.VpcId 字段映射。
TAGS.Zone target.cloud.availability_zone 直接从 TAGS.Zone 字段映射。
TAGS.alpha.eksctl.io/nodegroup-name additional.fields[].key:"eksctl_nodegroup_name", value.string_value 直接从 TAGS.alpha.eksctl.io/nodegroup-name 字段映射为其他字段。
TAGS.alpha.eksctl.io/nodegroup-type additional.fields[].key:"eksctl_nodegroup_type", value.string_value 直接从 TAGS.alpha.eksctl.io/nodegroup-type 字段映射为其他字段。
TAGS.arch principal.platform_version 直接从 TAGS.arch 字段映射。
TAGS.aws:autoscaling:groupName additional.fields[].key:"autoscaling_groupName", value.string_value 直接从 TAGS.aws:autoscaling:groupName 字段映射为其他字段。
TAGS.aws:ec2:fleet-id additional.fields[].key:"ec2_fleetid", value.string_value 直接从 TAGS.aws:ec2:fleet-id 字段映射为其他字段。
TAGS.aws:ec2launchtemplate:id additional.fields[].key:"ec2launchtemplate_id", value.string_value 直接从 TAGS.aws:ec2launchtemplate:id 字段映射为其他字段。
TAGS.aws:ec2launchtemplate:version additional.fields[].key:"ec2launchtemplate_ver", value.string_value 直接从 TAGS.aws:ec2launchtemplate:version 字段映射为其他字段。
TAGS.aws:eks:cluster-name additional.fields[].key:"eks_cluster_name", value.string_value 直接从 TAGS.aws:eks:cluster-name 字段映射为其他字段。
TAGS.enableCrowdStrike additional.fields[].key:"enableCrowdStrike", value.string_value 直接从 TAGS.enableCrowdStrike 字段映射为其他字段。
TAGS.falconx.io/application additional.fields[].key:"io/application", value.string_value 直接从 TAGS.falconx.io/application 字段映射为其他字段。
TAGS.falconx.io/environment additional.fields[].key:"io/environment", value.string_value 直接从 TAGS.falconx.io/environment 字段映射为其他字段。
TAGS.falconx.io/managedBy additional.fields[].key:"io/managedBy", value.string_value 直接从 TAGS.falconx.io/managedBy 字段映射为其他字段。
TAGS.falconx.io/project additional.fields[].key:"io/project", value.string_value 直接从 TAGS.falconx.io/project 字段映射为其他字段。
TAGS.falconx.io/proxy-type additional.fields[].key:"io/proxy_type", value.string_value 直接从 TAGS.falconx.io/proxy-type 字段映射为其他字段。
TAGS.falconx.io/service additional.fields[].key:"io/service", value.string_value 直接从 TAGS.falconx.io/service 字段映射为其他字段。
TAGS.falconx.io/team additional.fields[].key:"io/team", value.string_value 直接从 TAGS.falconx.io/team 字段映射为其他字段。
TAGS.k8s.io/cluster-autoscaler/enabled additional.fields[].key:"k8s_autoscaler_enabled", value.string_value 直接从 TAGS.k8s.io/cluster-autoscaler/enabled 字段映射为其他字段。
TAGS.k8s.io/cluster-autoscaler/falcon additional.fields[].key:"k8s_cluster_autoscaler", value.string_value 直接从 TAGS.k8s.io/cluster-autoscaler/falcon 字段映射为其他字段。
TAGS.kubernetes.io/cluster/falcon additional.fields[].key:"kubernetes_io_cluster", value.string_value 直接从 TAGS.kubernetes.io/cluster/falcon 字段映射为其他字段。
TAGS.lw_KubernetesCluster additional.fields[].key:"lw_KubernetesCluster", value.string_value 直接从 TAGS.lw_KubernetesCluster 字段映射为其他字段。
LAST_UPDATE additional.fields[].key:"LAST_UPDATE", value.string_value 直接从 LAST_UPDATE 字段映射为其他字段。已硬编码为“LACEWORK”。已硬编码为“Lacework Cloud Security”。
metadata.event_type metadata.event_type 由逻辑决定。如果同时存在 principal.ip 和 target.ip,则设置为“NETWORK_CONNECTION”;如果仅存在 principal.ip,则设置为“STATUS_UPDATE”;否则,设置为“GENERIC_EVENT”。

更改

2023-11-09

  • 新创建的解析器。