Mengumpulkan log Sysdig

Didukung di:

Parser ini mengekstrak data peristiwa keamanan dari log JSON Sysdig, yang mengubah dan memetakan kolom log mentah ke dalam format UDM Google Security Operations. API ini menangani berbagai kolom, termasuk metadata, informasi akun utama/target, detail hasil keamanan, dan konteks terkait Kubernetes, yang memperkaya data untuk analisis dalam Google SecOps. Parser juga melakukan konversi jenis data, penanganan error, dan logika bersyarat berdasarkan nilai kolom untuk memastikan representasi UDM yang akurat dan komprehensif.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Sysdig Secure.

Membuat kunci API untuk feed webhook

  1. Buka Konsol Google Cloud > Kredensial.

    Buka Kredensial

  2. Klik Create credentials, lalu pilih API key.

  3. Batasi akses kunci API ke Google Security Operations API.

Opsi 1

Mengonfigurasi feed Webhook di Google SecOps untuk menyerap log Sysdig

  1. Buka SIEM Settings > Feeds.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Sysdig Logs).
  4. Pilih Webhook sebagai Jenis sumber.
  5. Pilih Sysdig sebagai Jenis log.
  6. Klik Berikutnya.
  7. Opsional: Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
  10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  11. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
  12. Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
  13. Klik Done.

Menentukan URL endpoint

  1. Di aplikasi klien, tentukan URL endpoint HTTPS yang diberikan di feed webhook.

  2. Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.

  3. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ganti kode berikut:

    • ENDPOINT_URL: URL endpoint feed.
    • API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
    • SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi Webhook di Sysdig

  1. Login ke Sysdig Secure dengan hak istimewa Admin.
  2. Buka Profil > Setelan > Penerusan Peristiwa.
  3. Klik +Tambahkan Integrasi, lalu pilih Webhook dari menu drop-down.

  4. Tentukan nilai untuk parameter input berikut:

    • Nama Integrasi: Berikan nama deskriptif untuk webhook (misalnya, Webhook Google SecOps).
    • Endpoint: Masukkan Webhook <ENDPOINT_URL>, diikuti dengan <API_KEY dan <SECRET>.

    • Data to Send: Pilih jenis data Sysdig yang akan diteruskan dari menu drop-down.

    • Uji integrasi, lalu alihkan tombol Enabled untuk mengaktifkannya.

    • Klik Simpan.

Opsi 2

Meneruskan data langsung ke Google SecOps

  1. Login ke Sysdig Secure menggunakan kredensial administrator Anda.
  2. Buka Setelan > Penerusan Peristiwa.
  3. Klik +Tambahkan Integrasi, lalu pilih Google Chronicle dari menu drop-down.
  4. Tentukan nilai untuk parameter input berikut:
    • Nama Integrasi: Berikan nama deskriptif untuk integrasi (misalnya, Integrasi Google SecOps).
    • ID Pelanggan: ID Pelanggan Google yang terkait dengan akun GCP Anda. (Di Google SecOps, temukan di Setelan > Profil).
    • Namespace: Opsional: Gunakan sebagai tag untuk mengidentifikasi domain data yang sesuai untuk pengindeksan dan pengayaan.
    • Kredensial JSON: Upload kredensial JSON Google SecOps Anda.
    • Region: Pilih region Anda, seperti AS, Eropa, atau Asia.
    • Data to Send: Pilih jenis data Sysdig yang akan diteruskan dari menu drop-down.
    • Uji integrasi, lalu alihkan tombol Enabled untuk mengaktifkannya.
    • Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
agentId read_only_udm.metadata.product_deployment_id Nilai agentId dari log mentah dipetakan langsung ke kolom UDM ini.
category read_only_udm.security_result.category_details Nilai category dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.container.id read_only_udm.target.asset.asset_id Nilai content.fields.container.id dari log mentah diawali dengan "container_id:" dan dipetakan ke kolom UDM ini. Digunakan jika containerId kosong.
content.fields.container.image.repository read_only_udm.target.file.full_path Nilai content.fields.container.image.repository dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.container.image.tag read_only_udm.metadata.ingestion_labels.value dengan kunci tag Nilai content.fields.container.image.tag dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.evt.res read_only_udm.metadata.ingestion_labels.value dengan kunci evt_res Nilai content.fields.evt.res dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.evt.type read_only_udm.metadata.event_type Nilai content.fields.evt.type dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.falco.rule read_only_udm.security_result.rule_name Nilai content.fields.falco.rule dari log mentah dipetakan langsung ke kolom UDM ini. Digunakan jika content.ruleName kosong.
content.fields.group.gid read_only_udm.target.group.product_object_id Nilai content.fields.group.gid dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.group.name read_only_udm.target.group.group_display_name Nilai content.fields.group.name dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.proc.cmdline read_only_udm.target.process.command_line Nilai content.fields.proc.cmdline dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.proc.pcmdline read_only_udm.target.process.parent_process.command_line Nilai content.fields.proc.pcmdline dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.proc.pid read_only_udm.target.process.pid Nilai content.fields.proc.pid dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.proc.ppid read_only_udm.target.process.parent_process.pid Nilai content.fields.proc.ppid dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.proc.sid read_only_udm.metadata.ingestion_labels.value dengan kunci sid Nilai content.fields.proc.sid dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.user.loginname read_only_udm.principal.user.user_display_name Nilai content.fields.user.loginname dari log mentah dipetakan langsung ke kolom UDM ini.
content.fields.user.uid read_only_udm.principal.user.userid Nilai content.fields.user.uid dari log mentah dipetakan langsung ke kolom UDM ini.
content.output read_only_udm.additional.fields.value.string_value dengan kunci content_output Nilai content.output dari log mentah dipetakan langsung ke kolom UDM ini.
content.policyId read_only_udm.security_result.rule_id Nilai content.policyId dari log mentah dipetakan langsung ke kolom UDM ini.
content.policyOrigin read_only_udm.additional.fields.value.string_value dengan kunci content_policyOrigin Nilai content.policyOrigin dari log mentah dipetakan langsung ke kolom UDM ini.
content.policyVersion read_only_udm.additional.fields.value.string_value dengan kunci content_policyVersion Nilai content.policyVersion dari log mentah dipetakan langsung ke kolom UDM ini.
content.ruleName read_only_udm.security_result.rule_name Nilai content.ruleName dari log mentah dipetakan langsung ke kolom UDM ini.
content.ruleTags read_only_udm.security_result.rule_labels Nilai dalam array content.ruleTags dari log mentah dipetakan ke kolom UDM ini, dengan kunci yang dihasilkan secara dinamis sebagai "ruletag_index".
content.ruleType read_only_udm.additional.fields.value.string_value dengan kunci content_ruleType Nilai content.ruleType dari log mentah dipetakan langsung ke kolom UDM ini.
containerId read_only_udm.target.asset.asset_id Nilai containerId dari log mentah diawali dengan "container_id:" dan dipetakan ke kolom UDM ini.
description read_only_udm.metadata.description Nilai description dari log mentah dipetakan langsung ke kolom UDM ini.
id read_only_udm.metadata.product_log_id Nilai id dari log mentah dipetakan langsung ke kolom UDM ini.
labels.container.label.io.kubernetes.container.name read_only_udm.additional.fields.value.string_value dengan kunci container_name Nilai labels.container.label.io.kubernetes.container.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.container.label.io.kubernetes.pod.name read_only_udm.additional.fields.value.string_value dengan kunci pod_name Nilai labels.container.label.io.kubernetes.pod.name dari log mentah dipetakan langsung ke kolom UDM ini. Digunakan jika labels.kubernetes.pod.name kosong.
labels.container.label.io.kubernetes.pod.namespace read_only_udm.principal.namespace Nilai labels.container.label.io.kubernetes.pod.namespace dari log mentah dipetakan langsung ke kolom UDM ini. Digunakan jika labels.kubernetes.namespace.name kosong.
labels.aws.instanceId read_only_udm.target.resource.product_object_id Nilai labels.aws.instanceId dari log mentah dipetakan langsung ke kolom UDM ini.
labels.aws.region read_only_udm.target.resource.attribute.cloud.availability_zone Nilai labels.aws.region dari log mentah dipetakan langsung ke kolom UDM ini.
labels.host.hostName read_only_udm.principal.ip ATAU read_only_udm.principal.hostname Jika berisi "ip", nilai akan diuraikan sebagai alamat IP dan dipetakan ke principal.ip. Jika tidak, kolom akan dipetakan ke principal.hostname.
labels.host.mac read_only_udm.principal.mac Nilai labels.host.mac dari log mentah dipetakan langsung ke kolom UDM ini. Digunakan jika machineId kosong.
labels.kubernetes.cluster.name read_only_udm.additional.fields.value.string_value dengan kunci kubernetes_cluster_name Nilai labels.kubernetes.cluster.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.kubernetes.deployment.name read_only_udm.additional.fields.value.string_value dengan kunci kubernetes_deployment_name Nilai labels.kubernetes.deployment.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.kubernetes.namespace.name read_only_udm.principal.namespace Nilai labels.kubernetes.namespace.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.kubernetes.node.name read_only_udm.additional.fields.value.string_value dengan kunci kubernetes_node_name Nilai labels.kubernetes.node.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.kubernetes.pod.name read_only_udm.additional.fields.value.string_value dengan kunci pod_name Nilai labels.kubernetes.pod.name dari log mentah dipetakan langsung ke kolom UDM ini.
labels.kubernetes.service.name read_only_udm.additional.fields.value.string_value dengan kunci kubernetes_service_name Nilai labels.kubernetes.service.name dari log mentah dipetakan langsung ke kolom UDM ini.
machineId read_only_udm.principal.mac Nilai machineId dari log mentah dipetakan langsung ke kolom UDM ini.
name read_only_udm.security_result.summary Nilai name dari log mentah dipetakan langsung ke kolom UDM ini.
severity read_only_udm.security_result.severity Nilai severity dari log mentah dipetakan ke nilai string berdasarkan rentang ini: <4 = TINGGI, >3 dan <6 = SEDANG, 6 = RENDAH, 7 = INFORMASI.
source read_only_udm.security_result.description Nilai source dari log mentah dipetakan langsung ke kolom UDM ini.
timestampRFC3339Nano read_only_udm.metadata.event_timestamp Nilai timestampRFC3339Nano dari log mentah diuraikan sebagai stempel waktu dan dipetakan ke kolom UDM ini.
type read_only_udm.metadata.product_event_type Nilai type dari log mentah dipetakan langsung ke kolom UDM ini.
(Logika Parser) read_only_udm.metadata.product_name Di-hardcode ke "SYSDIG".
(Logika Parser) read_only_udm.metadata.vendor_name Di-hardcode ke "SYSDIG".
(Logika Parser) read_only_udm.metadata.event_type Secara default ditetapkan ke "PROCESS_UNCATEGORIZED", atau "GENERIC_EVENT" jika labels.host.hostName kosong.
(Logika Parser) read_only_udm.metadata.log_type Di-hardcode ke "SYSDIG".
(Logika Parser) read_only_udm.target.resource.resource_type Tetapkan ke "CLOUD_PROJECT" jika labels.aws.instanceId ada.

Perubahan

2024-01-05

  • Jika "severity" adalah 0, 1, 2, 3, maka ubah pemetaan "security_result.severity" dari "LOW" menjadi "HIGH".
  • Jika "severity" adalah 6, maka ubah pemetaan "security_result.severity" dari "HIGH" menjadi "LOW".
  • Jika "severity" adalah 7, ubah pemetaan "security_result.severity" dari "HIGH" menjadi "INFORMATIONAL".
  • Menambahkan "drop" untuk log yang tidak dalam format JSON.
  • Menambahkan "on_error" ke pemetaan tanggal "timestampRFC3339Nano".

2022-10-07

  • Parser yang baru dibuat.