Coletar registros da VPN Twingate

Compatível com:

Visão geral

Esse analisador extrai campos dos registros JSON da VPN Twingate, os normaliza e os mapeia para o modelo de dados unificado (UDM, na sigla em inglês). Ele processa vários tipos de eventos, incluindo detalhes de conexão, informações do usuário, acesso a recursos e retransmissão intermediária, enriquecendo os dados com metadados, como informações do fornecedor e do produto.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao AWS IAM e ao S3.

Configurar o bucket do Amazon S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para referência futura.

  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.

  4. Selecione o Usuário criado.

  5. Selecione a guia Credenciais de segurança.

  6. Clique em Criar chave de acesso na seção Chaves de acesso.

  7. Selecione Serviço de terceiros como Caso de uso.

  8. Clique em Próxima.

  9. Opcional: adicione a tag de descrição.

  10. Clique em Criar chave de acesso.

  11. Clique em Fazer o download do arquivo .csv para salvar a chave de acesso e a chave de acesso secreta para referência futura.

  12. Clique em Concluído.

  13. Selecione a guia Permissões.

  14. Clique em Adicionar permissões na seção Políticas de permissões.

  15. Selecione Adicionar permissões.

  16. Selecione Anexar políticas diretamente.

  17. Pesquise a política AmazonS3FullAccess.

  18. Selecione a política.

  19. Clique em Próxima.

  20. Clique em Adicionar permissões

Configurar a sincronização do Twingate com o Amazon S3

  1. Acesse o Admin Console do Twingate.
  2. Acesse Configurações > Relatórios.
  3. Clique em Sincronizar com o bucket do S3.

  4. Configure a sincronização do S3:

    • Nome do bucket: informe o nome do bucket do S3.

    • ID da chave de acesso: insira a chave de acesso.

    • Chave de acesso secreta: insira a chave secreta.

  5. Clique em Iniciar sincronização.

Configurar um feed no Google SecOps para processar registros do Twingate

  1. Acesse Configurações do SIEM > Feeds .
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do Twingate).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione Twingate como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. s3:/BUCKET_NAME Substitua:
      • BUCKET_NAME: o nome do bucket
    • URI é um: selecione Diretório.
    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela de finalização e clique em Enviar.

Referência do mapeamento de campo

Esse analisador transforma os registros brutos do Twingate no formato JSON em UDM. Ele normaliza os dados e extrai informações relevantes, mapeando-as para os campos do UDM correspondentes.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
connector.id read_only_udm.additional.fields[].key Defina como "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valor de connector.id.
connector.name read_only_udm.additional.fields[].key Defina como "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valor de connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valor de connection.bytes_received (convertido em um número inteiro sem sinal).
connection.bytes_transferred read_only_udm.network.sent_bytes Valor de connection.bytes_transferred (convertido em um número inteiro sem sinal).
connection.client_ip read_only_udm.principal.asset.ip Valor de connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valor de connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valor de connection.protocol (convertido em maiúsculas).
device.id read_only_udm.principal.user.product_object_id Valor de device.id.
event.id read_only_udm.metadata.event_id Valor de event.id
event.time read_only_udm.metadata.event_timestamp.seconds Parte de segundos do carimbo de data/hora de event.time.
event.type read_only_udm.event.type Valor de event.type.
event.version read_only_udm.metadata.product_version Valor de event.version.
relays[].ip read_only_udm.intermediary.ip Valor de relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valor de relays[].name.
relays[].port read_only_udm.intermediary.port Valor de relays[].port (convertido em um número inteiro).
remote_network.id read_only_udm.network.session_id Valor de remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valor de remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valor de resource.address.
resource.address read_only_udm.principal.hostname Valor de resource.address.
resource.id read_only_udm.resource.product_object_id Valor de resource.id.
resource.port read_only_udm.principal.port Valor de resource.port (convertido em um número inteiro).
status read_only_udm.security_result.summary Valor de status.
time read_only_udm.event.timestamp.seconds Parte de segundos do carimbo de data/hora de time.
user.email read_only_udm.principal.user.email_addresses Valor de user.email.
user.id read_only_udm.principal.user.userid Valor de user.id.

Alterações

2024-05-23

  • O analisador foi criado.