CloudPassage Halo 로그 수집
다음에서 지원:
Google secops
Siem
이 Logstash 파서 코드는 CloudPassage Halo JSON 로그 데이터를 통합 데이터 모델 (UDM)로 변환합니다. 원시 로그에서 관련 필드를 추출하고, 타임스탬프를 표준화하고, 데이터를 UDM 필드에 매핑하고, 심각도 및 사용자 정보와 같은 추가 컨텍스트로 이벤트를 보강합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- CloudPassage Halo에 대한 액세스 권한
CloudPassage에서 API 키 구성
- CloudPassage Halo에 로그인합니다.
- 설정 > 사이트 관리로 이동합니다.
- API 키 탭을 클릭합니다.
- 작업 > 새 API 키를 클릭합니다.
- API 키 탭에서 키의 표시를 클릭하여 값을 표시합니다.
- 키 ID와 보안 비밀 키 값을 모두 복사합니다.
피드 설정
Google SecOps 플랫폼에서 피드를 설정하는 두 가지 진입점이 있습니다.
- SIEM 설정 > 피드
- 콘텐츠 허브 > 콘텐츠 팩
SIEM 설정 > 피드에서 피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다 (예: CloudPassage Logs).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Cloud Passage를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 매개변수의 값을 지정합니다.
- 사용자 이름: 키 ID를 입력합니다.
- Secret: Secret Key를 입력합니다.
- 이벤트 유형: 포함할 이벤트 유형입니다 (이벤트 유형을 지정하지 않으면 목록의 기본 이벤트가 사용됨).
- 다음을 클릭합니다.
- 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
Content Hub에서 피드 설정하기
다음 필드의 값을 지정합니다.
- 사용자 이름: 키 ID를 입력합니다.
- Secret: Secret Key를 입력합니다.
- 이벤트 유형: 포함할 이벤트 유형입니다 (이벤트 유형을 지정하지 않으면 목록의 기본 이벤트가 사용됨).
고급 옵션
- 피드 이름: 피드를 식별하는 미리 입력된 값입니다.
- 소스 유형: Google SecOps로 로그를 수집하는 데 사용되는 방법입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| actor_country | principal.location.country_or_region | 원시 로그의 actor_country 필드에서 직접 매핑됩니다. |
| actor_ip_address | principal.ip | 원시 로그의 actor_ip_address 필드에서 직접 매핑됩니다. |
| actor_username | principal.user.userid | 원시 로그의 actor_username 필드에서 직접 매핑됩니다. |
| created_at | metadata.event_timestamp | 원시 로그의 created_at 필드에서 UDM 타임스탬프 형식으로 변환되었습니다. |
| 심각 | security_result.severity | critical가 true이면 심각도가 'CRITICAL'로 설정됩니다. 그렇지 않으면 이벤트의 경우 'INFORMATIONAL'(정보)로 설정되고 스캔의 발견 수에 따라 계산됩니다. |
| id | metadata.product_log_id | 이벤트의 원시 로그에 있는 id 필드에서 직접 매핑됩니다. |
| 메시지 | security_result.description | Grok 패턴을 사용하여 message 필드에서 추출된 설명입니다. |
| name | security_result.summary | 이벤트의 원시 로그에 있는 name 필드에서 직접 매핑됩니다. |
| policy_name | security_result.detection_fields.policy_name | 원시 로그의 policy_name 필드에서 직접 매핑됩니다. |
| rule_name | security_result.rule_name | 원시 로그의 rule_name 필드에서 직접 매핑됩니다. |
| scan.created_at | metadata.event_timestamp | 스캔을 위한 원시 로그의 scan.created_at 필드에서 UDM 타임스탬프 형식으로 변환되었습니다. |
| scan.critical_findings_count | security_result.description | 스캔 이벤트의 설명을 계산하는 데 사용됩니다. 심각도 수준을 결정하는 데도 사용됩니다. |
| scan.module | security_result.summary | 스캔 이벤트의 요약을 생성하는 데 사용됩니다. 대문자로 변환됩니다. |
| scan.non_critical_findings_count | security_result.description | 스캔 이벤트의 설명을 계산하는 데 사용됩니다. 심각도 수준을 결정하는 데도 사용됩니다. |
| scan.ok_findings_count | security_result.description | 스캔 이벤트의 설명을 계산하는 데 사용됩니다. |
| scan.server_hostname | target.hostname | 스캔의 원시 로그에 있는 scan.server_hostname 필드에서 직접 매핑됩니다. |
| scan.status | security_result.summary | 스캔 이벤트의 요약을 생성하는 데 사용됩니다. |
| scan.url | metadata.url_back_to_product | 스캔의 원시 로그에 있는 scan.url 필드에서 직접 매핑됩니다. |
| server_group_name | target.group.attribute.labels.server_group_name | 원시 로그의 server_group_name 필드에서 직접 매핑됩니다. |
| server_group_path | target.group.product_object_id | 원시 로그의 server_group_path 필드에서 직접 매핑됩니다. |
| server_hostname | target.hostname | 이벤트의 원시 로그에 있는 server_hostname 필드에서 직접 매핑됩니다. |
| server_ip_address | target.ip | 원시 로그의 server_ip_address 필드에서 직접 매핑됩니다. |
| server_platform | target.platform | 원시 로그의 server_platform 필드에서 직접 매핑됩니다. 대문자로 변환됩니다. |
| server_primary_ip_address | target.ip | 원시 로그의 server_primary_ip_address 필드에서 직접 매핑됩니다. |
| server_reported_fqdn | network.dns.authority.name | 원시 로그의 server_reported_fqdn 필드에서 직접 매핑됩니다. |
| target_username | target.user.userid | 원시 로그의 target_username 필드에서 직접 매핑됩니다. |
| metadata.event_type | 이벤트의 경우 'SCAN_UNCATEGORIZED'로, 검사의 경우 'SCAN_HOST'로 설정합니다. | |
| metadata.log_type | 'CLOUD_PASSAGE'로 설정합니다. | |
| metadata.product_name | 'HALO'로 설정합니다. | |
| metadata.vendor_name | 'CLOUDPASSAGE'로 설정합니다. | |
| principal.hostname | target.hostname에서 복사되었습니다. |
|
| security_result.action | 'UNKNOWN_ACTION'으로 설정합니다. | |
| security_result.category | 'POLICY_VIOLATION'으로 설정합니다. | |
| is_alert | security_result.severity이 'CRITICAL'이면 true로 설정합니다. |
|
| is_significant | security_result.severity이 'CRITICAL'이면 true로 설정합니다. |
변경사항
2022-06-30
- 개선
- 'policy_name'이 'security_result.detection_fields'에 매핑되었습니다.
- 'server_group_name'이 'target.group.attribute.labels'에 매핑되었습니다.
- 'server_group_path'가 'target.group.product_object_id'에 매핑되었습니다.
- '설명'을 가져오는 grok 패턴이 추가되었습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.