本頁面由 Cloud Translation API 翻譯而成。

收集 Twingate VPN 記錄

支援的國家/地區：

Google SecOps SIEM

總覽

這個 Twingate 剖析器會從 Twingate VPN JSON 記錄檔中擷取欄位、將欄位正規化，並對應至統合式資料模型 (UDM)。這項服務會處理各種事件類型，包括連線詳細資料、使用者資訊、資源存取權和中繼轉送，並使用供應商和產品資訊等中繼資料來擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
AWS IAM 和 S3 的特殊權限。

設定 Amazon S3 儲存空間

按照這份使用者指南建立 Amazon S3 值區：建立值區
儲存值區「名稱」和「區域」，以供日後參考。
請按照這份使用者指南建立使用者：建立 IAM 使用者。

注意： 授予 AWS 使用者對應的儲存空間存取權。請參閱 AWS 使用者指南 (存取權)。確認使用者的政策中列有 s3:ListBucket 和 s3:PutObject。
選取建立的「使用者」。
選取「安全憑證」分頁標籤。
在「Access Keys」部分中，按一下「Create Access Key」。
選取「第三方服務」做為「用途」。
點選「下一步」。
選用：新增說明標記。
按一下「建立存取金鑰」。
按一下「Download .csv file」(下載 .csv 檔案)，儲存「Access Key」(存取金鑰) 和「Secret Access Key」(私密存取金鑰)，以供日後參考。
按一下 [完成]。
選取「權限」分頁標籤。
在「權限政策」部分中，按一下「新增權限」。
選取「新增權限」。
選取「直接附加政策」。
搜尋「AmazonS3FullAccess」AmazonS3FullAccess政策。
選取政策。
點選「下一步」。
按一下「Add permissions」。

設定 Twingate 與 Amazon S3 同步

前往 Twingate 管理控制台。
依序前往「設定」>「報表」。
按一下「Sync to S3 Bucket」(同步至 S3 值區)。
設定 S3 Sync：
- 值區名稱：提供 S3 值區的名稱。
  
  注意：S3 儲存空間必須啟用公開存取權。
- 存取金鑰 ID：輸入存取金鑰。
- 存取密鑰：輸入密鑰。
按一下「開始同步」。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱，例如「Twingate 記錄」。
選取「Amazon S3 V2」做為「來源類型」。
選取「Twingate」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- S3 URI：值區 URI。s3:/BUCKET_NAME 取代下列項目：
  - BUCKET_NAME：值區名稱。
- 來源刪除選項：根據偏好設定選取刪除選項。
注意： 如果您選取「刪除已轉移的檔案」或「刪除已轉移的檔案和空白目錄」選項，請務必授予服務帳戶適當的權限。 * 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。 * 存取金鑰 ID：具有 S3 bucket 存取權的使用者存取金鑰。* 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
點選「下一步」。
在「Finalize」畫面中檢查新的動態饋給設定，然後按一下「Submit」。

欄位對應參考資料

這個剖析器會將 JSON 格式的原始 Twingate 記錄轉換為 UDM。並將資料正規化、擷取相關資訊，然後對應至相應的 UDM 欄位。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`connector.id`	`read_only_udm.additional.fields[].key`	設為「connector_id」。
`connector.id`	`read_only_udm.additional.fields[].value.string_value`	`connector.id` 的值。
`connector.name`	`read_only_udm.additional.fields[].key`	設為「connector_name」。
`connector.name`	`read_only_udm.additional.fields[].value.string_value`	`connector.name` 的值。
`connection.bytes_received`	`read_only_udm.network.received_bytes`	`connection.bytes_received` 的值 (已轉換為無正負號整數)。
`connection.bytes_transferred`	`read_only_udm.network.sent_bytes`	`connection.bytes_transferred` 的值 (已轉換為無正負號整數)。
`connection.client_ip`	`read_only_udm.principal.asset.ip`	`connection.client_ip` 的值。
`connection.client_ip`	`read_only_udm.principal.ip`	`connection.client_ip` 的值。
`connection.protocol`	`read_only_udm.network.ip_protocol`	`connection.protocol` 的值 (已轉換為大寫)。
`device.id`	`read_only_udm.principal.user.product_object_id`	`device.id` 的值。
`event.id`	`read_only_udm.metadata.event_id`	`event.id` 的值
`event.time`	`read_only_udm.metadata.event_timestamp.seconds`	時間戳記的秒數部分 (從 `event.time` 開始)。
`event.type`	`read_only_udm.event.type`	`event.type` 的值。
`event.version`	`read_only_udm.metadata.product_version`	`event.version` 的值。
`relays[].ip`	`read_only_udm.intermediary.ip`	`relays[].ip` 的值。
`relays[].name`	`read_only_udm.intermediary.hostname`	`relays[].name` 的值。
`relays[].port`	`read_only_udm.intermediary.port`	`relays[].port` 的值 (轉換為整數)。
`remote_network.id`	`read_only_udm.network.session_id`	`remote_network.id` 的值。
`remote_network.name`	`read_only_udm.network.dhcp.sname`	`remote_network.name` 的值。
`resource.address`	`read_only_udm.principal.asset.hostname`	`resource.address` 的值。
`resource.address`	`read_only_udm.principal.hostname`	`resource.address` 的值。
`resource.id`	`read_only_udm.resource.product_object_id`	`resource.id` 的值。
`resource.port`	`read_only_udm.principal.port`	`resource.port` 的值 (轉換為整數)。
`status`	`read_only_udm.security_result.summary`	`status` 的值。
`time`	`read_only_udm.event.timestamp.seconds`	時間戳記的秒數部分 (從 `time` 開始)。
`user.email`	`read_only_udm.principal.user.email_addresses`	`user.email` 的值。
`user.id`	`read_only_udm.principal.user.userid`	`user.id` 的值。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。