Mengumpulkan log CMS Wordpress

Ringkasan

Parser ini mengekstrak log CMS WordPress dari pesan berformat JSON atau teks biasa. Log ini menangani log berformat JSON dan non-JSON, mengurai kolom yang relevan, dan memetakan ke UDM, termasuk detail pengguna, informasi jaringan, atribut resource, dan detail hasil keamanan. Parser juga melakukan beberapa transformasi data, seperti mengonversi jenis data, menggabungkan kolom, dan menangani pola log tertentu untuk Kubernetes dan resource lainnya.

Sebelum memulai

• Pastikan Anda memiliki instance Google Chronicle.
• Pastikan Anda memiliki akses dengan hak istimewa ke situs WordPress.
• Plugin yang mengaktifkan fungsi webhook (misalnya, WP Webhooks).

Mengonfigurasi feed di Google SecOps untuk menyerap log WordPress

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log WordPress).
4. Pilih Webhook sebagai Jenis sumber.
5. Pilih Wordpress sebagai Jenis log.
6. Klik Berikutnya.
7. Opsional: tentukan nilai untuk parameter input berikut:
   • Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
   • Namespace aset: namespace aset.
   • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
8. Klik Berikutnya.
9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
11. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
12. Di tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
13. Klik Selesai.

Membuat kunci API untuk feed webhook

1. Buka Konsol Google Cloud > Kredensial.

   Buka Kredensial

2. Klik Create credentials, lalu pilih API key.

3. Batasi akses kunci API ke Google Security Operations API.

Menentukan URL endpoint

1. Di aplikasi klien, tentukan URL endpoint HTTPS yang diberikan di feed webhook.

2. Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Ganti kode berikut:

• ENDPOINT_URL: URL endpoint feed.
• API_KEY: kunci API untuk mengautentikasi ke Google Security Operations.
• SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi Webhook Wordpress

1. Instal dan aktifkan plugin WP Webhooks (atau plugin webhook yang Anda pilih) melalui direktori plugin WordPress.
2. Buka submenu WP Webhooks di menu administrator WordPress, biasanya terletak di bagian setelan.
3. Klik Kirim Data di menu panel atas.
4. Pilih tindakan WordPress yang akan memicu webhook. Contoh umum mencakup publish_post (saat postingan baru dipublikasikan), user_register (saat pengguna baru mendaftar), atau comment_post (saat komentar baru diposting). Hal ini bergantung pada data yang Anda pilih dan kirim ke Google SecOps.
5. Klik Tambahkan URL Webhook.
6. Konfigurasi Webhook:
   • Nama: Berikan nama deskriptif untuk webhook Anda (misalnya, Feed Google SecOps).
   • URL Webhook: Tempelkan URL endpoint Google SecOps Anda.
7. Klik Simpan Webhook.

Tabel Pemetaan UDM

Perubahan

2024-05-07

• Perbaikan bug:
• Mengubah logika parser untuk mengurai log yang tidak diuraikan dan dihapus.

2023-05-25

• Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.