Twingate-VPN-Logs erfassen

Unterstützt in:

Übersicht

Dieser Twingate-Parser extrahiert Felder aus Twingate-VPN-JSON-Logs, normalisiert sie und ordnet sie dem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Es verarbeitet verschiedene Ereignistypen, einschließlich Verbindungsdetails, Nutzerinformationen, Ressourcenzugriff und Zwischenübertragungen, und ergänzt die Daten um Metadaten wie Anbieter- und Produktinformationen.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für AWS IAM und S3.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen
  2. Notieren Sie sich den Namen und die Region des Buckets für später.

  3. Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.

  4. Wählen Sie den erstellten Nutzer aus.

  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.

  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.

  7. Wählen Sie als Use Case Drittanbieterdienst aus.

  8. Klicken Sie auf Weiter.

  9. Optional: Fügen Sie ein „description“-Tag hinzu.

  10. Klicken Sie auf Zugriffsschlüssel erstellen.

  11. Klicken Sie auf CSV-Datei herunterladen, um den Zugriffsschlüssel und den Secret Access Key zur späteren Verwendung zu speichern.

  12. Klicken Sie auf Fertig.

  13. Wählen Sie den Tab Berechtigungen aus.

  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.

  15. Wählen Sie Berechtigungen hinzufügen aus.

  16. Wählen Sie Richtlinien direkt anhängen aus.

  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.

  18. Wählen Sie die Richtlinie aus.

  19. Klicken Sie auf Weiter.

  20. Klicken Sie auf Berechtigungen hinzufügen.

Twingate-Synchronisierung mit Amazon S3 konfigurieren

  1. Rufen Sie die Admin-Konsole von Twingate auf.
  2. Gehen Sie zu Einstellungen > Berichte.
  3. Klicken Sie auf Mit S3-Bucket synchronisieren.

  4. Konfigurieren Sie die S3-Synchronisierung:

    • Bucket-Name: Geben Sie den Namen Ihres S3-Buckets an.

    • Access key ID (Zugriffsschlüssel-ID): Geben Sie den Zugriffsschlüssel ein.

    • Secret access key (Geheimer Zugriffsschlüssel): Geben Sie den geheimen Schlüssel ein.

  5. Klicken Sie auf Synchronisierung starten.

Feed in Google SecOps für die Aufnahme von Twingate-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds .
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Twingate-Protokolle.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie Twingate als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: der Bucket-URI. s3:/BUCKET_NAME Ersetzen Sie Folgendes:
      • BUCKET_NAME: der Name des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis aus.
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
    • Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.

Referenz für die Feldzuordnung

Dieser Parser wandelt Roh-Twingate-Logs im JSON-Format in UDM um. Dabei werden die Daten normalisiert, relevante Informationen extrahiert und den entsprechenden UDM-Feldern zugeordnet.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
connector.id read_only_udm.additional.fields[].key Legen Sie „connector_id“ fest.
connector.id read_only_udm.additional.fields[].value.string_value Wert aus connector.id.
connector.name read_only_udm.additional.fields[].key Legen Sie diesen Wert auf „connector_name“ fest.
connector.name read_only_udm.additional.fields[].value.string_value Wert aus connector.name.
connection.bytes_received read_only_udm.network.received_bytes Wert aus connection.bytes_received (in eine vorzeichenlose Ganzzahl konvertiert).
connection.bytes_transferred read_only_udm.network.sent_bytes Wert aus connection.bytes_transferred (in eine vorzeichenlose Ganzzahl konvertiert).
connection.client_ip read_only_udm.principal.asset.ip Wert aus connection.client_ip.
connection.client_ip read_only_udm.principal.ip Wert aus connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Wert aus connection.protocol (in Großbuchstaben umgewandelt).
device.id read_only_udm.principal.user.product_object_id Wert aus device.id.
event.id read_only_udm.metadata.event_id Wert aus event.id
event.time read_only_udm.metadata.event_timestamp.seconds Sekundenteil des Zeitstempels von event.time.
event.type read_only_udm.event.type Wert aus event.type.
event.version read_only_udm.metadata.product_version Wert aus event.version.
relays[].ip read_only_udm.intermediary.ip Wert aus relays[].ip.
relays[].name read_only_udm.intermediary.hostname Wert aus relays[].name.
relays[].port read_only_udm.intermediary.port Wert aus relays[].port (in eine Ganzzahl umgewandelt).
remote_network.id read_only_udm.network.session_id Wert aus remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Wert aus remote_network.name.
resource.address read_only_udm.principal.asset.hostname Wert aus resource.address.
resource.address read_only_udm.principal.hostname Wert aus resource.address.
resource.id read_only_udm.resource.product_object_id Wert aus resource.id.
resource.port read_only_udm.principal.port Wert aus resource.port (in eine Ganzzahl umgewandelt).
status read_only_udm.security_result.summary Wert aus status.
time read_only_udm.event.timestamp.seconds Sekundenteil des Zeitstempels von time.
user.email read_only_udm.principal.user.email_addresses Wert aus user.email.
user.id read_only_udm.principal.user.userid Wert aus user.id.

Änderungen

2024-05-23

  • Parser erstellt.