收集 CloudPassage Halo 記錄檔
支援以下發布途徑:
Google secops
Siem
這段 Logstash 剖析器程式碼會將 CloudPassage Halo JSON 記錄資料轉換為統合資料模型 (UDM)。這項工具會從原始記錄中擷取相關欄位、將時間戳記標準化、將資料對應至 UDM 欄位,並透過嚴重程度和使用者資訊等額外背景資訊豐富事件。
事前準備
- 確認您有 Google SecOps 執行個體。
- 確認您具有 CloudPassage Halo 的特殊權限。
在 CloudPassage 中設定 API 金鑰
- 登入 CloudPassage Halo。
- 依序前往「設定」>「網站管理」。
- 按一下「API 金鑰」分頁標籤。
- 依序點選「動作」>「新增 API 金鑰」。
- 在「API 金鑰」分頁中,按一下金鑰旁的「顯示」,即可顯示值。
- 複製「Key ID」和「Secret Key」值。
在 Google SecOps 中設定動態饋給,以便擷取 CloudPassage 記錄
- 按一下「新增」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如「CloudPassage Logs」)。
- 將「來源類型」設為「第三方 API」。
- 選取「Cloud Passage」做為「記錄類型」。
- 點按「Next」。
- 指定下列輸入參數的值:
- 使用者名稱:輸入金鑰 ID。
- 密碼:輸入密鑰。
- 事件類型:要納入的事件類型 (如果未指定事件類型,系統會使用清單中的預設事件)。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 點按「Next」。
- 在「Finalize」畫面中查看動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| actor_country | principal.location.country_or_region | 直接從原始記錄中的 actor_country 欄位對應。 |
| actor_ip_address | principal.ip | 直接從原始記錄中的 actor_ip_address 欄位對應。 |
| actor_username | principal.user.userid | 直接從原始記錄中的 actor_username 欄位對應。 |
| created_at | metadata.event_timestamp | 從原始記錄檔中的 created_at 欄位轉換為 UDM 時間戳記格式。 |
| 重要 | security_result.severity | 如果 critical 為 true,則嚴重性會設為「CRITICAL」。否則,系統會將事件設為「資訊」,並根據掃描結果數量計算。 |
| id | metadata.product_log_id | 直接從事件的原始記錄中,對應 id 欄位。 |
| 訊息 | security_result.description | 使用 grok 模式從 message 欄位擷取的說明。 |
| 名稱 | security_result.summary | 直接從事件的原始記錄中,對應 name 欄位。 |
| policy_name | security_result.detection_fields.policy_name | 直接從原始記錄中的 policy_name 欄位對應。 |
| rule_name | security_result.rule_name | 直接從原始記錄中的 rule_name 欄位對應。 |
| scan.created_at | metadata.event_timestamp | 從掃描作業的原始記錄檔中 scan.created_at 欄位轉換為 UDM 時間戳記格式。 |
| scan.critical_findings_count | security_result.description | 用於計算掃描事件的說明。也可用來判斷嚴重性等級。 |
| scan.module | security_result.summary | 用於產生掃描事件摘要。已轉換為大寫。 |
| scan.non_critical_findings_count | security_result.description | 用於計算掃描事件的說明。也可用來判斷嚴重性等級。 |
| scan.ok_findings_count | security_result.description | 用於計算掃描事件的說明。 |
| scan.server_hostname | target.hostname | 直接從掃描作業的原始記錄中,對應 scan.server_hostname 欄位。 |
| scan.status | security_result.summary | 用於產生掃描事件摘要。 |
| scan.url | metadata.url_back_to_product | 直接從掃描作業的原始記錄中,對應 scan.url 欄位。 |
| server_group_name | target.group.attribute.labels.server_group_name | 直接從原始記錄中的 server_group_name 欄位對應。 |
| server_group_path | target.group.product_object_id | 直接從原始記錄中的 server_group_path 欄位對應。 |
| server_hostname | target.hostname | 直接從事件的原始記錄中,對應 server_hostname 欄位。 |
| server_ip_address | target.ip | 直接從原始記錄中的 server_ip_address 欄位對應。 |
| server_platform | target.platform | 直接從原始記錄中的 server_platform 欄位對應。已轉換為大寫。 |
| server_primary_ip_address | target.ip | 直接從原始記錄中的 server_primary_ip_address 欄位對應。 |
| server_reported_fqdn | network.dns.authority.name | 直接從原始記錄中的 server_reported_fqdn 欄位對應。 |
| target_username | target.user.userid | 直接從原始記錄中的 target_username 欄位對應。 |
| metadata.event_type | 如果是事件,請設為「SCAN_UNCATEGORIZED」;如果是掃描,請設為「SCAN_HOST」。 | |
| metadata.log_type | 設為「CLOUD_PASSAGE」。 | |
| metadata.product_name | 設為「HALO」。 | |
| metadata.vendor_name | 設為「CLOUDPASSAGE」。 | |
| principal.hostname | 從 target.hostname 複製的項目。 |
|
| security_result.action | 設為「UNKNOWN_ACTION」。 | |
| security_result.category | 設為「POLICY_VIOLATION」。 | |
| is_alert | 如果 security_result.severity 為「CRITICAL」,則設為 true。 |
|
| is_significant | 如果 security_result.severity 為「CRITICAL」,則設為 true。 |
異動
2022-06-30
- 強化
- 將「policy_name」對應至「security_result.detection_fields」。
- 已將「server_group_name」對應至「target.group.attribute.labels」。
- 將「server_group_path」對應至「target.group.product_object_id」。
- 新增 grok 模式,以便取得「description」。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。