Raccogliere i log della VPN Twingate

Supportato in:

Panoramica

Questo parser Twingate estrae i campi dai log JSON della VPN Twingate, li normalizza e li mappa all'Unified Data Model (UDM). Gestisce vari tipi di eventi, tra cui dettagli di connessione, informazioni utente, accesso alle risorse e intermediari, arricchendo i dati con metadati come informazioni su fornitori e prodotti.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS IAM e S3.

Configura il bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket
  2. Salva Nome e Regione del bucket per riferimento futuro.

  3. Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.

  4. Seleziona l'utente creato.

  5. Seleziona la scheda Credenziali di sicurezza.

  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.

  7. Seleziona Servizio di terze parti come Caso d'uso.

  8. Fai clic su Avanti.

  9. (Facoltativo) Aggiungi il tag description.

  10. Fai clic su Crea chiave di accesso.

  11. Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso segreta da utilizzare in futuro.

  12. Fai clic su Fine.

  13. Seleziona la scheda Autorizzazioni.

  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri di autorizzazione.

  15. Seleziona Aggiungi autorizzazioni.

  16. Seleziona Collega direttamente i criteri.

  17. Cerca il criterio AmazonS3FullAccess.

  18. Seleziona il criterio.

  19. Fai clic su Avanti.

  20. Fai clic su Aggiungi autorizzazioni.

Configurare la sincronizzazione di Twingate con Amazon S3

  1. Vai alla Console di amministrazione di Twingate.
  2. Vai a Impostazioni > Report.
  3. Fai clic su Sincronizza con il bucket S3.

  4. Configura la sincronizzazione S3:

    • Nome bucket: fornisci il nome del bucket S3.

    • ID chiave di accesso: inserisci la chiave di accesso.

    • Chiave di accesso segreta: inserisci la chiave segreta.

  5. Fai clic su Avvia sincronizzazione.

Configura un feed in Google SecOps per importare i log di Twingate

  1. Vai a Impostazioni SIEM > Feed .
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Twingate).
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona Twingate come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
      • BUCKET_NAME: il nome del bucket.
    • L'URI è una: seleziona Directory.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: la chiave secret dell'utente con accesso al bucket S3.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Completa e poi fai clic su Invia.

Riferimento alla mappatura dei campi

Questo parser trasforma i log non elaborati di Twingate in formato JSON in UDM. Normalizza i dati ed estrae le informazioni pertinenti, mappandole ai campi UDM corrispondenti.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
connector.id read_only_udm.additional.fields[].key Impostato su "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valore ottenuto da connector.id.
connector.name read_only_udm.additional.fields[].key Impostato su "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valore ottenuto da connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valore di connection.bytes_received (convertito in un numero intero non firmato).
connection.bytes_transferred read_only_udm.network.sent_bytes Valore di connection.bytes_transferred (convertito in un numero intero non firmato).
connection.client_ip read_only_udm.principal.asset.ip Valore ottenuto da connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valore ottenuto da connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valore di connection.protocol (convertito in maiuscolo).
device.id read_only_udm.principal.user.product_object_id Valore ottenuto da device.id.
event.id read_only_udm.metadata.event_id Valore ottenuto da event.id
event.time read_only_udm.metadata.event_timestamp.seconds Parte dei secondi del timestamp da event.time.
event.type read_only_udm.event.type Valore ottenuto da event.type.
event.version read_only_udm.metadata.product_version Valore ottenuto da event.version.
relays[].ip read_only_udm.intermediary.ip Valore ottenuto da relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valore ottenuto da relays[].name.
relays[].port read_only_udm.intermediary.port Valore di relays[].port (convertito in un numero intero).
remote_network.id read_only_udm.network.session_id Valore ottenuto da remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valore ottenuto da remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valore ottenuto da resource.address.
resource.address read_only_udm.principal.hostname Valore ottenuto da resource.address.
resource.id read_only_udm.resource.product_object_id Valore ottenuto da resource.id.
resource.port read_only_udm.principal.port Valore di resource.port (convertito in un numero intero).
status read_only_udm.security_result.summary Valore ottenuto da status.
time read_only_udm.event.timestamp.seconds Parte dei secondi del timestamp da time.
user.email read_only_udm.principal.user.email_addresses Valore ottenuto da user.email.
user.id read_only_udm.principal.user.userid Valore ottenuto da user.id.

Modifiche

2024-05-23

  • Parser creato.