Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VPN Twingate

Didukung di:

Google SecOps SIEM

Ringkasan

Parser Twingate ini mengekstrak kolom dari log JSON VPN Twingate, menormalisasinya, dan memetakannya ke Model Data Terpadu (UDM). Sistem ini menangani berbagai jenis peristiwa, termasuk detail koneksi, informasi pengguna, akses resource, dan relay perantara, yang memperkaya data dengan metadata seperti informasi vendor dan produk.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke AWS IAM dan S3.

Mengonfigurasi bucket Amazon S3

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Nama dan Region bucket untuk referensi di masa mendatang.
Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.

Catatan: Beri pengguna AWS Anda akses ke bucket yang sesuai. Lihat Panduan Pengguna AWS (Akses). Pastikan pengguna memiliki s3:ListBucket dan s3:PutObject yang tercantum dalam kebijakannya.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
Klik Selesai.
Pilih tab Permissions.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Cari kebijakan AmazonS3FullAccess.
Pilih kebijakan.
Klik Berikutnya.
Klik Add permissions.

Mengonfigurasi sinkronisasi Twingate dengan Amazon S3

Buka Konsol Admin Twingate.
Buka Setelan > Laporan.
Klik Sinkronkan ke Bucket S3.
Konfigurasi S3 Sync:
- Bucket Name: Berikan nama bucket S3 Anda.
  
  Catatan: Akses publik bucket S3 harus diaktifkan.
- Access Key ID: Masukkan Kunci Akses.
- Secret Access Key: Masukkan Secret Key.
Klik Mulai Menyinkronkan.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Twingate Logs.
Pilih Amazon S3 V2 sebagai Jenis sumber.
Pilih Twingate sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI S3: URI bucket. s3:/BUCKET_NAME Ganti kode berikut:
  - BUCKET_NAME: nama bucket.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda memberikan izin yang sesuai ke akun layanan. * Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari. * ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket s3. * Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalisasi, lalu klik Kirim.

Referensi pemetaan kolom

Parser ini mengubah log Twingate mentah dalam format JSON menjadi UDM. Proses ini menormalisasi data dan mengekstrak informasi yang relevan, lalu memetakannya ke kolom UDM yang sesuai.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`connector.id`	`read_only_udm.additional.fields[].key`	Disetel ke "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Disetel ke "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Nilai dari `connection.bytes_received` (dikonversi menjadi bilangan bulat yang tidak bertanda).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Nilai dari `connection.bytes_transferred` (dikonversi menjadi bilangan bulat yang tidak bertanda).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Nilai dari `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Nilai dari `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Nilai dari `connection.protocol` (dikonversi menjadi huruf besar).
`device.id`	`read_only_udm.principal.user.product_object_id`	Nilai dari `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Nilai dari `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Bagian detik stempel waktu dari `event.time`.
`event.type`	`read_only_udm.event.type`	Nilai dari `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Nilai dari `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Nilai dari `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Nilai dari `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Nilai dari `relays[].port` (dikonversi menjadi bilangan bulat).
`remote_network.id`	`read_only_udm.network.session_id`	Nilai dari `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Nilai dari `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Nilai dari `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Nilai dari `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Nilai dari `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Nilai dari `resource.port` (dikonversi menjadi bilangan bulat).
`status`	`read_only_udm.security_result.summary`	Nilai dari `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Bagian detik stempel waktu dari `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Nilai dari `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Nilai dari `user.id`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.