Recopila registros de VPN de Twingate

Compatible con:

Descripción general

Este analizador de Twingate extrae campos de los registros JSON de la VPN de Twingate, los normaliza y los asigna al modelo de datos unificado (UDM). Controla varios tipos de eventos, incluidos los detalles de la conexión, la información del usuario, el acceso a los recursos y los relés intermediarios, y enriquece los datos con metadatos, como la información del proveedor y del producto.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS IAM y S3.

Configura el bucket de Amazon S3

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Guarda el Nombre y la Región del bucket para usarlos como referencia en el futuro.

  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.

  4. Selecciona el Usuario creado.

  5. Selecciona la pestaña Credenciales de seguridad.

  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.

  7. Selecciona Servicio de terceros como Caso de uso.

  8. Haz clic en Siguiente.

  9. Opcional: Agrega una etiqueta de descripción.

  10. Haz clic en Crear clave de acceso.

  11. Haz clic en Descargar archivo .csv para guardar la clave de acceso y la clave de acceso secreta como referencia en el futuro.

  12. Haz clic en Listo.

  13. Selecciona la pestaña Permisos.

  14. Haz clic en Agregar permisos en la sección Políticas de permisos.

  15. Selecciona Agregar permisos.

  16. Selecciona Adjuntar políticas directamente.

  17. Busca la política AmazonS3FullAccess.

  18. Selecciona la política.

  19. Haz clic en Siguiente.

  20. Haz clic en Agregar permisos.

Configura la sincronización de Twingate con Amazon S3

  1. Ve a la Consola del administrador de Twingate.
  2. Ve a Configuración > Informes.
  3. Haz clic en Sincronizar con el bucket de S3.

  4. Configura la sincronización de S3:

    • Nombre del bucket: Proporciona el nombre de tu bucket de S3.

    • ID de clave de acceso: Ingresa la clave de acceso.

    • Clave de acceso secreta: Ingresa la clave secreta.

  5. Haz clic en Iniciar sincronización.

Configura un feed en Google SecOps para transferir registros de Twingate

  1. Ve a Configuración de SIEM > Feeds .
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Twingate).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona Twingate como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket. s3:/BUCKET_NAME Reemplaza lo siguiente:
      • BUCKET_NAME: el nombre del bucket.
    • El URI es un: Selecciona Directorio.
    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Referencia de la asignación de campos

Este analizador transforma los registros sin procesar de Twingate en formato JSON en UDM. Normaliza los datos y extrae información relevante, y la asigna a los campos de UDM correspondientes.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
connector.id read_only_udm.additional.fields[].key Establece el valor en "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valor de connector.id.
connector.name read_only_udm.additional.fields[].key Establece el valor en "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valor de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valor de connection.bytes_received (convertido a un número entero sin firma).
connection.bytes_transferred read_only_udm.network.sent_bytes Valor de connection.bytes_transferred (convertido a un número entero sin firma).
connection.client_ip read_only_udm.principal.asset.ip Valor de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valor de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valor de connection.protocol (convertido a mayúsculas).
device.id read_only_udm.principal.user.product_object_id Valor de device.id.
event.id read_only_udm.metadata.event_id Valor de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Es la parte de segundos de la marca de tiempo de event.time.
event.type read_only_udm.event.type Valor de event.type.
event.version read_only_udm.metadata.product_version Valor de event.version.
relays[].ip read_only_udm.intermediary.ip Valor de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valor de relays[].name.
relays[].port read_only_udm.intermediary.port Valor de relays[].port (convertido a un número entero).
remote_network.id read_only_udm.network.session_id Valor de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valor de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valor de resource.address.
resource.address read_only_udm.principal.hostname Valor de resource.address.
resource.id read_only_udm.resource.product_object_id Valor de resource.id.
resource.port read_only_udm.principal.port Valor de resource.port (convertido a un número entero).
status read_only_udm.security_result.summary Valor de status.
time read_only_udm.event.timestamp.seconds Es la parte de segundos de la marca de tiempo de time.
user.email read_only_udm.principal.user.email_addresses Valor de user.email.
user.id read_only_udm.principal.user.userid Valor de user.id.

Cambios

2024-05-23

  • Se creó el analizador.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.