Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VPN Twingate

Didukung di:

Google SecOps SIEM

Ringkasan

Parser Twingate ini mengekstrak kolom dari log JSON VPN Twingate, menormalisasinya, dan memetakan ke Unified Data Model (UDM). Fitur ini menangani berbagai jenis peristiwa, termasuk detail koneksi, informasi pengguna, akses resource, dan relay perantara, yang memperkaya data dengan metadata seperti informasi vendor dan produk.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke AWS IAM dan S3.

Mengonfigurasi bucket Amazon S3

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Nama dan Region bucket untuk referensi di masa mendatang.
Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.

Catatan: Berikan akses pengguna AWS Anda ke bucket yang sesuai. Lihat Panduan Pengguna AWS (Akses). Pastikan pengguna memiliki s3:ListBucket dan s3:PutObject yang tercantum dalam kebijakannya.
Pilih Pengguna yang dibuat.
Pilih tab Kredensial keamanan.
Klik Create Access Key di bagian Access Keys.
Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
Klik Berikutnya.
Opsional: tambahkan tag deskripsi.
Klik Create access key.
Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia sebagai referensi di masa mendatang.
Klik Done.
Pilih tab Permissions.
Klik Tambahkan izin di bagian Kebijakan izin.
Pilih Tambahkan izin.
Pilih Lampirkan kebijakan secara langsung.
Telusuri kebijakan AmazonS3FullAccess.
Pilih kebijakan.
Klik Berikutnya.
Klik Tambahkan izin.

Mengonfigurasi sinkronisasi Twingate dengan Amazon S3

Buka Konsol Admin Twingate.
Buka Setelan > Laporan.
Klik Sinkronkan ke Bucket S3.
Konfigurasikan S3 Sync:
- Nama Bucket: Berikan nama bucket S3 Anda.
  
  Catatan: Akses publik harus diaktifkan di bucket S3.
- Access Key ID: Masukkan Kunci Akses.
- Secret Access Key: Masukkan Secret Key.
Klik Mulai Sinkronisasi.

Mengonfigurasi feed di Google SecOps untuk menyerap log Twingate

Buka Setelan SIEM > Feed .
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Twingate).
Pilih Amazon S3 sebagai Source type.
Pilih Twingate sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: region tempat bucket Amazon S3 berada.
- S3 URI: URI bucket. s3:/BUCKET_NAME Ganti kode berikut:
  - BUCKET_NAME: nama bucket.
- URI adalah: pilih Direktori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Hapus file yang ditransfer atau Hapus file yang ditransfer dan direktori kosong, pastikan Anda telah memberikan izin yang sesuai ke akun layanan.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
- Secret Access Key: Kunci rahasia Pengguna dengan akses ke bucket s3.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Referensi pemetaan kolom

Parser ini mengubah log mentah Twingate dalam format JSON menjadi UDM. Alat ini menormalisasi data dan mengekstrak informasi yang relevan, lalu memetakan data tersebut ke kolom UDM yang sesuai.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`connector.id`	`read_only_udm.additional.fields[].key`	Tetapkan ke "connector_id".
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.id`.
`connector.name`	`read_only_udm.additional.fields[].key`	Tetapkan ke "connector_name".
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	Nilai dari `connector.name`.
`connection.bytes_received`	`read_only_udm.network.received_bytes`	Nilai dari `connection.bytes_received` (dikonversi menjadi bilangan bulat tanpa tanda tangan).
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	Nilai dari `connection.bytes_transferred` (dikonversi menjadi bilangan bulat tanpa tanda tangan).
`connection.client_ip`	`read_only_udm.principal.asset.ip`	Nilai dari `connection.client_ip`.
`connection.client_ip`	`read_only_udm.principal.ip`	Nilai dari `connection.client_ip`.
`connection.protocol`	`read_only_udm.network.ip_protocol`	Nilai dari `connection.protocol` (dikonversi ke huruf besar).
`device.id`	`read_only_udm.principal.user.product_object_id`	Nilai dari `device.id`.
`event.id`	`read_only_udm.metadata.event_id`	Nilai dari `event.id`
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	Bagian detik dari stempel waktu dari `event.time`.
`event.type`	`read_only_udm.event.type`	Nilai dari `event.type`.
`event.version`	`read_only_udm.metadata.product_version`	Nilai dari `event.version`.
`relays[].ip`	`read_only_udm.intermediary.ip`	Nilai dari `relays[].ip`.
`relays[].name`	`read_only_udm.intermediary.hostname`	Nilai dari `relays[].name`.
`relays[].port`	`read_only_udm.intermediary.port`	Nilai dari `relays[].port` (dikonversi menjadi bilangan bulat).
`remote_network.id`	`read_only_udm.network.session_id`	Nilai dari `remote_network.id`.
`remote_network.name`	`read_only_udm.network.dhcp.sname`	Nilai dari `remote_network.name`.
`resource.address`	`read_only_udm.principal.asset.hostname`	Nilai dari `resource.address`.
`resource.address`	`read_only_udm.principal.hostname`	Nilai dari `resource.address`.
`resource.id`	`read_only_udm.resource.product_object_id`	Nilai dari `resource.id`.
`resource.port`	`read_only_udm.principal.port`	Nilai dari `resource.port` (dikonversi menjadi bilangan bulat).
`status`	`read_only_udm.security_result.summary`	Nilai dari `status`.
`time`	`read_only_udm.event.timestamp.seconds`	Bagian detik dari stempel waktu dari `time`.
`user.email`	`read_only_udm.principal.user.email_addresses`	Nilai dari `user.email`.
`user.id`	`read_only_udm.principal.user.userid`	Nilai dari `user.id`.

Perubahan

2024-05-23

Parser dibuat.