收集 Cohesity 記錄

支援以下發布途徑:

總覽

這個剖析器會使用 grok 模式,從 Cohesity 備份軟體的 syslog 訊息中擷取欄位。它會處理標準 Syslog 訊息和 JSON 格式的記錄,將擷取的欄位對應至 UDM,並根據是否有主要和目標 ID,動態指派 event_type

事前準備

請確認您已完成下列事前準備:

  • Google SecOps 執行個體。
  • Cohesity 管理工具的特殊存取權。

設定動態饋給

在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:

  • SIEM 設定 > 動態饋給
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態」
  2. 按一下「新增動態消息」
  3. 在下一頁中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給 (例如「Cohesity Logs」)。
  5. 將「來源類型」設為「Webhook」
  6. 選取「Cohesity」做為「記錄類型」
  7. 點選「下一步」
  8. 選用:指定下列輸入參數的值:
    • 分隔符號:用於分隔記錄行 (例如 \n) 的分隔符號。
  9. 點選「下一步」
  10. 在「Finalize」畫面中查看動態饋給設定,然後按一下「Submit」
  11. 按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。
  12. 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
  13. 在「Details」分頁中,從「Endpoint Information」欄位複製動態饋給端點網址。您必須在用戶端應用程式中指定這個端點網址。
  14. 按一下 [完成]

透過內容中心設定動態饋給

指定下列欄位的值:

  • 分隔符號:用於分隔記錄行 (例如 \n) 的分隔符號。

進階選項

  • 動態饋給名稱:預先填入的值,用於識別動態饋給。
  • 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
  • 素材資源命名空間:與動態饋給相關聯的命名空間。

  • 攝入標籤:套用至這個動態饋給中所有事件的標籤。

  • 按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。

  • 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。

  • 在「Details」分頁中,從「Endpoint Information」欄位複製動態饋給端點網址。您必須在用戶端應用程式中指定這個端點網址。

為 webhook 動態饋給建立 API 金鑰

  1. 依序前往「Google Cloud 控制台」>「憑證」

    前往「憑證」

  2. 按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)

  3. 限制 API 金鑰存取 Chronicle API

指定端點網址

  1. 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。

  2. 請按照下列格式,將 API 金鑰和密鑰指定為自訂標頭的一部分,啟用驗證機制:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    建議:請以標頭的形式指定 API 金鑰,不要在網址中指定。

  3. 如果 webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    更改下列內容:

    • ENDPOINT_URL:動態饋給端點網址。
    • API_KEY:用於向 Google SecOps 驗證的 API 金鑰。
    • SECRET:您用來驗證動態饋給而產生的密鑰。

在 Cohesity 中設定 Google SecOps Webhook

  1. 登入 Cohesity 叢集管理。
  2. 前往「Protection Jobs」部分。
  3. 選取要設定 webhook 的防護工作。
  4. 依序點選保護工作旁的「動作」選單 (三個垂直排列的圓點) >「編輯」
  5. 選取「快訊」分頁標籤。
  6. 按一下「+ 新增 Webhook」
  7. 指定下列參數的值:
    • 名稱:為 webhook 提供描述性名稱 (例如「Google SecOps」)。
    • 網址:輸入 Google SecOps <ENDPOINT_URL>
    • 方法:選取「POST」
    • 內容類型:選取「application/json」
    • 酬載:這個欄位取決於您要傳送的特定資料。
    • 啟用 Webhook:勾選這個方塊即可啟用 webhook。
  8. 儲存設定:按一下「儲存」,將 Webhook 設定套用至保護工作。

UDM 對應表

記錄欄位 UDM 對應 邏輯
ClientIP principal.asset.ip 直接從 ClientIP 欄位對應。
ClientIP principal.ip 直接從 ClientIP 欄位對應。
description security_result.description 直接從 description 欄位對應。
DomainName target.asset.hostname 直接從 DomainName 欄位對應。
DomainName target.hostname 直接從 DomainName 欄位對應。
EntityPath target.url 直接從 EntityPath 欄位對應。
host principal.asset.hostname 直接從 host 欄位對應。
host principal.hostname 直接從 host 欄位對應。從 ts 欄位複製,並剖析為時間戳記。取決於剖析器邏輯,根據 principal_mid_presenttarget_mid_presentprincipal_user_present 的存在情形。可能的值:NETWORK_CONNECTIONUSER_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT。已硬式編碼為「Cohesity」。
product_event_type metadata.product_event_type 直接從 product_event_type 欄位對應。已硬式編碼為「COHESITY」。
pid principal.process.pid 直接從 pid 欄位對應。
Protocol network.application_protocol 直接從 Protocol 欄位對應,並轉換為大寫。
RecordID additional.fields (key: "RecordID", value: RecordID) 直接從 RecordID 欄位對應,並在 additional.fields 下方巢狀結構。
RequestType security_result.detection_fields (鍵值:「RequestType」,值:RequestType) 直接從 RequestType 欄位對應,並在 security_result.detection_fields 下方巢狀結構。
Result security_result.summary 直接從 Result 欄位對應。
sha_value additional.fields (鍵:"SHA256", 值:sha_value) 直接從 sha_value 欄位對應,並在 additional.fields 下方巢狀結構。
target_ip target.asset.ip 直接從 target_ip 欄位對應。
target_ip target.ip 直接從 target_ip 欄位對應。
target_port target.port 直接從 target_port 欄位對應,並轉換為整數。
Timestamp metadata.collected_timestamp 在剖析為時間戳記後,直接從 Timestamp 欄位對應。
ts events.timestamp 在剖析為時間戳記後,直接從 ts 欄位對應。
UserID principal.user.userid 直接從 UserID 欄位對應,並轉換為字串。
UserName principal.user.user_display_name 直接從 UserName 欄位對應。
UserSID principal.user.windows_sid 直接從 UserSID 欄位對應。

異動

2024-09-24

  • 移除「gsub」以格式化 JSON 記錄。

2024-09-10

  • 新增「gsub」來從記錄中移除不必要的字元。
  • 將「prin_ip」對應至「principal.ip」。

2024-07-28

  • 將「EntityId」和「RegisteredSource.EntityId」對應至「principal.user.userid」。
  • 將「Description」和「EventMessage」對應至「metadata.description」。
  • 將「IP」對應至「principal.ip」和「principal.asset.ip」。
  • 將「User」對應至「principal.user.user_display_name」。
  • 已對應「Action」、「Domain」、「ServiceContext」、「AttributeMap.AttemptNum」、「cluster_id」、「cluster_name」、「ClusterInfo.ClusterId」、「ClusterInfo.ClusterName」、「TaskId」、「EntityName」、「EntityType」、「BackupJobId」、「BackupJobName」、「EnvironmentType」、「RegisteredSource.EntityName」、「RegisteredSource.EntityType」、「AttributeMap.BridgeConstituent」、「ReplicationTarget.ClusterName」和「ReplicationTarget.ClusterId」至「additional.fields」。

2024-05-16

  • 新建的剖析器。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。