Collecter les journaux VPN Twingate

Compatible avec:

Présentation

Cet analyseur Twingate extrait des champs des journaux JSON du VPN Twingate, les normalise et les met en correspondance avec le modèle de données unifié (UDM). Il gère différents types d'événements, y compris les informations de connexion, les informations utilisateur, l'accès aux ressources et les relais intermédiaires, en enrichissant les données avec des métadonnées telles que des informations sur le fournisseur et le produit.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS IAM et S3.

Configurer le bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.

  3. Créez un utilisateur en suivant ce guide de l'utilisateur: Créer un utilisateur IAM.

  4. Sélectionnez l'utilisateur créé.

  5. Sélectionnez l'onglet Informations d'identification de sécurité.

  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.

  7. Sélectionnez Service tiers comme Cas d'utilisation.

  8. Cliquez sur Suivant.

  9. Facultatif: ajoutez une balise de description.

  10. Cliquez sur Créer une clé d'accès.

  11. Cliquez sur Download .csv file (Télécharger le fichier .csv) pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.

  12. Cliquez sur OK.

  13. Sélectionnez l'onglet Autorisations.

  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.

  15. Sélectionnez Ajouter des autorisations.

  16. Sélectionnez Joindre directement des règles.

  17. Recherchez la règle AmazonS3FullAccess.

  18. Sélectionnez la règle.

  19. Cliquez sur Suivant.

  20. Cliquez sur Ajouter des autorisations.

Configurer la synchronisation Twingate avec Amazon S3

  1. Accédez à la console d'administration Twingate.
  2. Accédez à Paramètres > Rapports.
  3. Cliquez sur Synchroniser avec le bucket S3.

  4. Configurez la synchronisation S3:

    • Nom du bucket: indiquez le nom de votre bucket S3.

    • ID de clé d'accès: saisissez la clé d'accès.

    • Clé d'accès secrète: saisissez la clé secrète.

  5. Cliquez sur Start Syncing (Démarrer la synchronisation).

Configurer un flux dans Google SecOps pour ingérer les journaux Twingate

  1. Accédez à Paramètres du SIEM > Flux .
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Twingate).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez Twingate comme Type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
    • URI S3: URI du bucket. s3:/BUCKET_NAME Remplacez les éléments suivants :
      • BUCKET_NAME : nom du bucket.
    • Un URI est un: sélectionnez Répertoire.
    • Options de suppression de la source: sélectionnez l'option de suppression de votre choix.
    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Référence de mappage de champ

Cet analyseur transforme les journaux bruts Twingate au format JSON en UDM. Il normalise les données et extrait les informations pertinentes, en les mappant sur les champs UDM correspondants.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
connector.id read_only_udm.additional.fields[].key Définissez-le sur "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valeur de connector.id.
connector.name read_only_udm.additional.fields[].key Définissez-le sur "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valeur de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valeur de connection.bytes_received (convertie en entier sans signature).
connection.bytes_transferred read_only_udm.network.sent_bytes Valeur de connection.bytes_transferred (convertie en entier sans signature).
connection.client_ip read_only_udm.principal.asset.ip Valeur de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valeur de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valeur de connection.protocol (convertie en majuscules).
device.id read_only_udm.principal.user.product_object_id Valeur de device.id.
event.id read_only_udm.metadata.event_id Valeur de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Partie "secondes" de l'horodatage de event.time.
event.type read_only_udm.event.type Valeur de event.type.
event.version read_only_udm.metadata.product_version Valeur de event.version.
relays[].ip read_only_udm.intermediary.ip Valeur de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valeur de relays[].name.
relays[].port read_only_udm.intermediary.port Valeur de relays[].port (convertie en entier).
remote_network.id read_only_udm.network.session_id Valeur de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valeur de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valeur de resource.address.
resource.address read_only_udm.principal.hostname Valeur de resource.address.
resource.id read_only_udm.resource.product_object_id Valeur de resource.id.
resource.port read_only_udm.principal.port Valeur de resource.port (convertie en entier).
status read_only_udm.security_result.summary Valeur de status.
time read_only_udm.event.timestamp.seconds Partie "secondes" de l'horodatage de time.
user.email read_only_udm.principal.user.email_addresses Valeur de user.email.
user.id read_only_udm.principal.user.userid Valeur de user.id.

Modifications

2024-05-23

  • Analyseur créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.