收集 Twingate VPN 日志

支持的平台:

概览

此 Twingate 解析器会从 Twingate VPN JSON 日志中提取字段、对其进行标准化,并将其映射到 Unified Data Model (UDM)。它可处理各种事件类型,包括连接详情、用户信息、资源访问和中介中继,并使用供应商和产品信息等元数据丰富数据。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 AWS IAM 和 S3 的超级用户访问权限。

配置 Amazon S3 存储分区

  1. 按照以下用户指南创建 Amazon S3 存储分区创建存储分区
  2. 保存存储分区的名称区域,以备日后参考。

  3. 按照以下用户指南创建用户创建 IAM 用户

  4. 选择创建的用户

  5. 选择安全凭据标签页。

  6. 点击访问密钥部分中的创建访问密钥

  7. 选择第三方服务作为用例

  8. 点击下一步

  9. 可选:添加说明标记。

  10. 点击创建访问密钥

  11. 点击下载 .csv 文件以保存访问密钥密钥,以备日后参考。

  12. 点击完成

  13. 选择权限标签页。

  14. 权限政策部分中,点击添加权限

  15. 选择添加权限

  16. 选择直接附加政策

  17. 搜索 AmazonS3FullAccess 政策。

  18. 选择相应政策。

  19. 点击下一步

  20. 点击添加权限

配置 Twingate 与 Amazon S3 的同步

  1. 前往 Twingate 管理控制台。
  2. 依次前往设置 > 报告
  3. 点击同步到 S3 存储分区

  4. 配置 S3 同步:

    • 存储分区名称:提供您的 S3 存储分区的名称。

    • 访问密钥 ID:输入访问密钥。

    • 私有访问密钥:输入私有访问密钥。

  5. 点击开始同步

在 Google SecOps 中配置 Feed 以提取 Twingate 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Twingate 日志)。
  4. 选择 Amazon S3 作为来源类型
  5. 选择 Twingate 作为日志类型
  6. 点击下一步

  7. 为以下输入参数指定值:

    • 区域:Amazon S3 存储分区所在的区域。
    • S3 URI:存储分区 URI。s3:/BUCKET_NAME 替换以下内容:
      • BUCKET_NAME:存储分区的名称。
    • URI 是:选择目录
    • 来源删除选项:根据您的偏好选择删除选项。
    • 访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
    • 私有访问密钥:有权访问 S3 存储分区的用户私钥。
    • 资源命名空间资源命名空间
    • 提取标签:要应用于此 Feed 中的事件的标签。

  8. 点击下一步

  9. “最终确定”界面中查看新的 Feed 配置,然后点击提交

字段映射参考文档

此解析器会将 JSON 格式的原始 Twingate 日志转换为 UDM。它会对数据进行标准化处理并提取相关信息,将其映射到相应的 UDM 字段。

UDM 映射表

日志字段 UDM 映射 逻辑
connector.id read_only_udm.additional.fields[].key 设置为“connector_id”。
connector.id read_only_udm.additional.fields[].value.string_value 来自 connector.id 的值。
connector.name read_only_udm.additional.fields[].key 设置为“connector_name”。
connector.name read_only_udm.additional.fields[].value.string_value 来自 connector.name 的值。
connection.bytes_received read_only_udm.network.received_bytes 来自 connection.bytes_received 的值(转换为无符号整数)。
connection.bytes_transferred read_only_udm.network.sent_bytes 来自 connection.bytes_transferred 的值(转换为无符号整数)。
connection.client_ip read_only_udm.principal.asset.ip 来自 connection.client_ip 的值。
connection.client_ip read_only_udm.principal.ip 来自 connection.client_ip 的值。
connection.protocol read_only_udm.network.ip_protocol 来自 connection.protocol 的值(转换为大写)。
device.id read_only_udm.principal.user.product_object_id 来自 device.id 的值。
event.id read_only_udm.metadata.event_id 来自 event.id 的值
event.time read_only_udm.metadata.event_timestamp.seconds event.time 中时间戳的秒部分。
event.type read_only_udm.event.type 来自 event.type 的值。
event.version read_only_udm.metadata.product_version 来自 event.version 的值。
relays[].ip read_only_udm.intermediary.ip 来自 relays[].ip 的值。
relays[].name read_only_udm.intermediary.hostname 来自 relays[].name 的值。
relays[].port read_only_udm.intermediary.port 来自 relays[].port 的值(转换为整数)。
remote_network.id read_only_udm.network.session_id 来自 remote_network.id 的值。
remote_network.name read_only_udm.network.dhcp.sname 来自 remote_network.name 的值。
resource.address read_only_udm.principal.asset.hostname 来自 resource.address 的值。
resource.address read_only_udm.principal.hostname 来自 resource.address 的值。
resource.id read_only_udm.resource.product_object_id 来自 resource.id 的值。
resource.port read_only_udm.principal.port 来自 resource.port 的值(转换为整数)。
status read_only_udm.security_result.summary 来自 status 的值。
time read_only_udm.event.timestamp.seconds time 中时间戳的秒部分。
user.email read_only_udm.principal.user.email_addresses 来自 user.email 的值。
user.id read_only_udm.principal.user.userid 来自 user.id 的值。

变化

2024-05-23

  • 已创建解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。