收集 CloudPassage Halo 記錄檔

支援以下發布途徑:

這段 Logstash 剖析器程式碼會將 CloudPassage Halo JSON 記錄資料轉換為統合資料模型 (UDM)。這項工具會從原始記錄中擷取相關欄位、將時間戳記標準化、將資料對應至 UDM 欄位,並透過嚴重程度和使用者資訊等額外背景資訊豐富事件。

事前準備

  • 確認您有 Google SecOps 執行個體。
  • 確認您具有 CloudPassage Halo 的特殊權限。

在 CloudPassage 中設定 API 金鑰

  1. 登入 CloudPassage Halo。
  2. 依序前往「設定」>「網站管理」
  3. 按一下「API 金鑰」分頁標籤。
  4. 依序點選「動作」>「新增 API 金鑰」
  5. 在「API 金鑰」分頁中,按一下金鑰旁的「顯示」,即可顯示值。
  6. 複製「Key ID」和「Secret Key」值。

在 Google SecOps 中設定動態饋給,以便擷取 CloudPassage 記錄

  1. 按一下「新增」
  2. 在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如「CloudPassage Logs」)。
  3. 將「來源類型」設為「第三方 API」
  4. 選取「Cloud Passage」做為「記錄類型」
  5. 點按「Next」
  6. 指定下列輸入參數的值:
    • 使用者名稱:輸入金鑰 ID
    • 密碼:輸入密鑰
    • 事件類型:要納入的事件類型 (如果未指定事件類型,系統會使用清單中的預設事件)。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  7. 點按「Next」
  8. 在「Finalize」畫面中查看動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
actor_country principal.location.country_or_region 直接從原始記錄中的 actor_country 欄位對應。
actor_ip_address principal.ip 直接從原始記錄中的 actor_ip_address 欄位對應。
actor_username principal.user.userid 直接從原始記錄中的 actor_username 欄位對應。
created_at metadata.event_timestamp 從原始記錄檔中的 created_at 欄位轉換為 UDM 時間戳記格式。
重要 security_result.severity 如果 critical 為 true,則嚴重性會設為「CRITICAL」。否則,系統會將事件設為「資訊」,並根據掃描結果數量計算。
id metadata.product_log_id 直接從事件的原始記錄中,對應 id 欄位。
訊息 security_result.description 使用 grok 模式從 message 欄位擷取的說明。
名稱 security_result.summary 直接從事件的原始記錄中,對應 name 欄位。
policy_name security_result.detection_fields.policy_name 直接從原始記錄中的 policy_name 欄位對應。
rule_name security_result.rule_name 直接從原始記錄中的 rule_name 欄位對應。
scan.created_at metadata.event_timestamp 從掃描作業的原始記錄檔中 scan.created_at 欄位轉換為 UDM 時間戳記格式。
scan.critical_findings_count security_result.description 用於計算掃描事件的說明。也可用來判斷嚴重性等級。
scan.module security_result.summary 用於產生掃描事件摘要。已轉換為大寫。
scan.non_critical_findings_count security_result.description 用於計算掃描事件的說明。也可用來判斷嚴重性等級。
scan.ok_findings_count security_result.description 用於計算掃描事件的說明。
scan.server_hostname target.hostname 直接從掃描作業的原始記錄中,對應 scan.server_hostname 欄位。
scan.status security_result.summary 用於產生掃描事件摘要。
scan.url metadata.url_back_to_product 直接從掃描作業的原始記錄中,對應 scan.url 欄位。
server_group_name target.group.attribute.labels.server_group_name 直接從原始記錄中的 server_group_name 欄位對應。
server_group_path target.group.product_object_id 直接從原始記錄中的 server_group_path 欄位對應。
server_hostname target.hostname 直接從事件的原始記錄中,對應 server_hostname 欄位。
server_ip_address target.ip 直接從原始記錄中的 server_ip_address 欄位對應。
server_platform target.platform 直接從原始記錄中的 server_platform 欄位對應。已轉換為大寫。
server_primary_ip_address target.ip 直接從原始記錄中的 server_primary_ip_address 欄位對應。
server_reported_fqdn network.dns.authority.name 直接從原始記錄中的 server_reported_fqdn 欄位對應。
target_username target.user.userid 直接從原始記錄中的 target_username 欄位對應。
metadata.event_type 如果是事件,請設為「SCAN_UNCATEGORIZED」;如果是掃描,請設為「SCAN_HOST」。
metadata.log_type 設為「CLOUD_PASSAGE」。
metadata.product_name 設為「HALO」。
metadata.vendor_name 設為「CLOUDPASSAGE」。
principal.hostname target.hostname 複製的項目。
security_result.action 設為「UNKNOWN_ACTION」。
security_result.category 設為「POLICY_VIOLATION」。
is_alert 如果 security_result.severity 為「CRITICAL」,則設為 true。
is_significant 如果 security_result.severity 為「CRITICAL」,則設為 true。

異動

2022-06-30

  • 強化
  • 將「policy_name」對應至「security_result.detection_fields」。
  • 已將「server_group_name」對應至「target.group.attribute.labels」。
  • 將「server_group_path」對應至「target.group.product_object_id」。
  • 新增 grok 模式,以便取得「description」。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。