Mengumpulkan log Synology
Ringkasan
Parser ini mengekstrak kolom dari pesan SYSLOG Synology menggunakan pola grok, lalu memetakannya ke UDM. Log ini menangani berbagai format log, mengidentifikasi login pengguna dan akses resource, serta mengategorikan peristiwa berdasarkan kata kunci, yang memperkaya data dengan informasi vendor dan produk.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke Synology DSM.
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Synology.
- Pilih Webhook sebagai Jenis sumber.
- Pilih Synology sebagai Jenis log.
- Klik Berikutnya.
- Opsional: Tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti
\n. - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
- Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
- Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku.
- Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.
- Klik Selesai.
Membuat kunci API untuk feed webhook
Buka konsolGoogle Cloud > Kredensial.
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.
Tentukan URL endpoint
- Di aplikasi klien Anda, tentukan URL endpoint HTTPS yang disediakan di feed webhook.
Aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRETRekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.
Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:
ENDPOINT_URL?key=API_KEY&secret=SECRETGanti kode berikut:
ENDPOINT_URL: URL endpoint feed.API_KEY: kunci API untuk mengautentikasi ke Google Security Operations.SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.
Membuat Webhook di Synology untuk Google SecOps
- Login ke DiskStation Manager (DSM) di Synology NAS Anda.
- Buka Control Panel > Notification > Webhook.
- Klik Tambahkan.
Tentukan nilai untuk parameter berikut:
- Penyedia: Pilih Kustom.
Aturan: Pilih jenis pesan yang ingin Anda kirim di webhook.
Klik Berikutnya.
Nama penyedia: Beri webhook nama yang berbeda (misalnya, Google SecOps).
Subjek: Akan ditambahkan sebagai awalan pesan notifikasi.
Webhook URL: Masukkan ENDPOINT_URL.
Pilih Kirim pesan notifikasi dalam bahasa Inggris.
Klik Berikutnya.
Metode HTTP: Pilih POST.
Tambahkan Header X-Webhook-Access-Key, dengan nilai SECRET.
Tambahkan Header X-goog-api-key, dengan nilai API_KEY.
Klik Terapkan.
Klik Terapkan untuk menyimpan webhook.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
app |
target.application |
Nilai kolom app yang diekstrak oleh filter grok ditetapkan ke target.application. |
desc |
metadata.description |
Nilai kolom desc yang diekstrak oleh filter grok ditetapkan ke metadata.description. |
desc |
target.file.names |
Jika kolom desc berisi "Closed)", jalur file dalam tanda kurung akan diekstrak dan ditetapkan ke target.file.names. Jika kolom desc berisi "accessed shared folder", jalur folder dalam tanda kurung akan diekstrak dan ditetapkan ke target.file.names. |
host |
principal.hostname |
Nilai kolom host yang diekstrak oleh filter grok dari kolom host_and_ip ditetapkan ke principal.hostname. |
host_and_ip |
principal.ip |
Kolom host_and_ip diuraikan. Jika alamat IP (ip1) ditemukan, alamat tersebut akan ditetapkan ke principal.ip. Jika alamat IP kedua (ip2) ditemukan, alamat tersebut juga ditambahkan ke principal.ip. |
intermediary_host |
intermediary.hostname |
Nilai kolom intermediary_host yang diekstrak oleh filter grok ditetapkan ke intermediary.hostname. Objek auth kosong dibuat dalam extensions jika pesan berisi "login" atau "masuk". Stempel waktu dari kolom collection_time log mentah digunakan. Jika pesan berisi "login", nilainya ditetapkan ke USER_LOGIN. Jika pesan berisi "mengakses folder bersama", nilainya ditetapkan ke USER_RESOURCE_ACCESS. Jika tidak, nilai defaultnya adalah GENERIC_EVENT. Nilai kolom type yang diekstrak oleh filter grok ditetapkan ke metadata.product_event_type. Nilai ditetapkan secara statis ke "SYNOLOGY". Nilai ditetapkan secara statis ke "SYNOLOGY". Jika pesan berisi "failed to sign", nilainya ditetapkan ke BLOCK. Jika pesan berisi "success", nilai akan ditetapkan ke ALLOW. Jika kolom severity (diekstrak oleh grok) adalah "INFO", nilainya akan ditetapkan ke INFORMATIONAL. |
severity |
security_result.severity |
Nilai kolom severity yang diekstrak oleh filter grok digunakan untuk menentukan security_result.severity. Jika nilainya "INFO", nilai tersebut dipetakan ke "INFORMATIONAL". |
time |
metadata.event_timestamp |
Kolom time, yang diekstrak oleh filter grok, diuraikan dan dikonversi menjadi stempel waktu. Stempel waktu ini kemudian ditetapkan ke metadata.event_timestamp. |
type |
metadata.product_event_type |
Nilai kolom type yang diekstrak oleh filter grok ditetapkan ke metadata.product_event_type. |
user |
target.administrative_domain |
Jika domain diekstrak dari kolom user, domain tersebut akan ditetapkan ke target.administrative_domain. |
user |
target.user.userid |
Bagian nama pengguna di kolom user (sebelum "\" jika ada) diekstrak dan ditetapkan ke target.user.userid. Stempel waktu dari kolom collection_time log mentah digunakan. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.