Raccogliere i log del CMS WordPress

Panoramica

Questo parser estrae i log del CMS WordPress da messaggi in formato JSON o testo normale. Gestisce i log formattati in formato JSON e non JSON, analizzando i campi pertinenti e mappandoli all'UDM, inclusi i dettagli dell'utente, le informazioni di rete, gli attributi delle risorse e i dettagli dei risultati di sicurezza. Il parser esegue anche diverse trasformazioni dei dati, come la conversione dei tipi di dati, l'unione dei campi e la gestione di pattern di log specifici per Kubernetes e altre risorse.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

• Istanza Google SecOps.
• Accesso con privilegi a un sito web WordPress.
• Plug-in che abilita la funzionalità webhook (ad esempio WP Webhooks).

Configurare i feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log CMS Wordpress.
5. Seleziona Webhook come Tipo di origine.
6. Seleziona WordPress come Tipo di log.
7. Fai clic su Avanti.
8. (Facoltativo) Specifica i valori per i seguenti parametri di input:
   • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
9. Fai clic su Avanti.
10. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
12. Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nella tua applicazione client.
14. Fai clic su Fine.

Crea una chiave API per il feed webhook

1. Vai alla consoleGoogle Cloud > Credenziali.

   Vai a credenziali

2. Fai clic su Crea credenziali e poi seleziona Chiave API.

3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

1. Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

2. Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Consiglio: specifica la chiave API come intestazione anziché nell'URL. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Sostituisci quanto segue:

• ENDPOINT_URL: l'URL dell'endpoint del feed.
• API_KEY: la chiave API per l'autenticazione a Google Security Operations.
• SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook di WordPress

1. Installa e attiva il plug-in WP Webhooks (o il plug-in webhook che hai scelto) tramite la directory dei plug-in di WordPress.
2. Vai al sottomenu WP Webhooks nel menu di amministrazione di WordPress, in genere in Impostazioni.
3. Fai clic su Invia dati nel menu della barra in alto.
4. Seleziona l'azione di WordPress che attiverà il webhook. Esempi comuni includono publish_post (quando viene pubblicato un nuovo post), user_register (quando viene registrato un nuovo utente) o comment_post (quando viene pubblicato un nuovo commento). Dipende dai dati che selezioni e invii a Google SecOps.
5. Fai clic su Aggiungi URL webhook.
6. Configura il webhook:
   • Nome: assegna al webhook un nome descrittivo (ad esempio, Feed Google SecOps).
   • URL webhook: incolla l'URL dell'endpoint Google SecOps.
7. Fai clic su Salva webhook.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.