Twingate VPN ログを収集する
概要
この Twingate パーサーは、Twingate VPN JSON ログからフィールドを抽出し、正規化して統合データモデル(UDM)にマッピングします。接続の詳細、ユーザー情報、リソースへのアクセス、中間リレーなど、さまざまなイベントタイプを処理し、ベンダーやプロダクト情報などのメタデータでデータを拡充します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- AWS IAM と S3 に対する特権アクセス権があることを確認します。
Amazon S3 バケットを構成する
- バケットを作成するのユーザーガイドに沿って、Amazon S3 バケットを作成します。
- バケットの名前とリージョンを保存して、後で参照できるようにします。
IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
作成したユーザーを選択します。
[セキュリティ認証情報] タブを選択します。
[アクセスキー] セクションで [アクセスキーを作成] をクリックします。
[ユースケース] として [サードパーティ サービス] を選択します。
[次へ] をクリックします。
省略可: 説明タグを追加します。
[Create access key] をクリックします。
[Download .csv file] をクリックして、アクセスキーとシークレット アクセスキーを保存し、今後の参照に備えます。
[完了] をクリックします。
[権限] タブを選択します。
[権限ポリシー] セクションの [権限を追加] をクリックします。
[権限を追加] を選択します。
[Attach policies directly] を選択します。
AmazonS3FullAccess ポリシーを検索します。
ポリシーを選択します。
[次へ] をクリックします。
[権限を追加] をクリックします。
Amazon S3 との Twingate 同期を構成する
- Twingate 管理コンソールに移動します。
- [設定] > [レポート] に移動します。
- [S3 バケットに同期] をクリックします。
S3 Sync を構成します。
バケット名: S3 バケットの名前を指定します。
Access Key ID: アクセスキーを入力します。
シークレット アクセスキー: シークレット キーを入力します。
[同期を開始] をクリックします。
Twingate のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Twingate ログ)。
- [ソースタイプ] として [Amazon S3] を選択します。
- [Log type] として [Twingate] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケットの URI。
s3:/BUCKET_NAME次のように置き換えます。BUCKET_NAME: バケットの名前。
- [URI は]: [ディレクトリ] を選択します。
- ソース削除オプション: 必要に応じて削除オプションを選択します。
- Access Key ID: s3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレットの鍵。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize screen] で新しいフィードの設定を確認し、[Submit] をクリックします。
フィールド マッピング リファレンス
このパーサーは、JSON 形式の未加工の Twingate ログを UDM に変換します。データを正規化し、関連情報を抽出して、対応する UDM フィールドにマッピングします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
connector.id |
read_only_udm.additional.fields[].key |
「connector_id」に設定します。 |
connector.id |
read_only_udm.additional.fields[].value.string_value |
connector.id からの値。 |
connector.name |
read_only_udm.additional.fields[].key |
「connector_name」に設定します。 |
connector.name |
read_only_udm.additional.fields[].value.string_value |
connector.name からの値。 |
connection.bytes_received |
read_only_udm.network.received_bytes |
connection.bytes_received の値(符号なし整数に変換)。 |
connection.bytes_transferred |
read_only_udm.network.sent_bytes |
connection.bytes_transferred の値(符号なし整数に変換)。 |
connection.client_ip |
read_only_udm.principal.asset.ip |
connection.client_ip からの値。 |
connection.client_ip |
read_only_udm.principal.ip |
connection.client_ip からの値。 |
connection.protocol |
read_only_udm.network.ip_protocol |
connection.protocol の値(大文字に変換)。 |
device.id |
read_only_udm.principal.user.product_object_id |
device.id からの値。 |
event.id |
read_only_udm.metadata.event_id |
event.id からの値 |
event.time |
read_only_udm.metadata.event_timestamp.seconds |
event.time のタイムスタンプの秒の部分。 |
event.type |
read_only_udm.event.type |
event.type からの値。 |
event.version |
read_only_udm.metadata.product_version |
event.version からの値。 |
relays[].ip |
read_only_udm.intermediary.ip |
relays[].ip からの値。 |
relays[].name |
read_only_udm.intermediary.hostname |
relays[].name からの値。 |
relays[].port |
read_only_udm.intermediary.port |
relays[].port の値(整数に変換)。 |
remote_network.id |
read_only_udm.network.session_id |
remote_network.id からの値。 |
remote_network.name |
read_only_udm.network.dhcp.sname |
remote_network.name からの値。 |
resource.address |
read_only_udm.principal.asset.hostname |
resource.address からの値。 |
resource.address |
read_only_udm.principal.hostname |
resource.address からの値。 |
resource.id |
read_only_udm.resource.product_object_id |
resource.id からの値。 |
resource.port |
read_only_udm.principal.port |
resource.port の値(整数に変換)。 |
status |
read_only_udm.security_result.summary |
status からの値。 |
time |
read_only_udm.event.timestamp.seconds |
time のタイムスタンプの秒の部分。 |
user.email |
read_only_udm.principal.user.email_addresses |
user.email からの値。 |
user.id |
read_only_udm.principal.user.userid |
user.id からの値。 |
変更点
2024-05-23
- パーサーが作成されました。