收集 Cisco Umbrella Web Proxy 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 AWS S3 bucket,將 Cisco Umbrella Web Proxy 記錄收集到 Google Security Operations 資訊串流。剖析器會從 CSV 記錄中擷取欄位,重新命名欄位以求清楚明瞭,並處理輸入資料中可能出現的變化。然後使用內含的檔案 (umbrella_proxy_udm.include 和 umbrella_handle_identities.include),將擷取的欄位對應至 UDM,並根據 identityType 欄位處理身分資訊。
事前準備
- 確認您擁有 Google SecOps 執行個體。
- 確認您有權存取 AWS IAM 和 S3。
- 確認您具備 Cisco Umbrella 的特殊權限。
設定 Cisco 管理的 Amazon S3 儲存空間
- 登入 Cisco Umbrella 資訊主頁。
- 依序前往「管理」>「記錄管理」。
- 選取「Use a Cisco-managed Amazon S3 bucket」(使用 Cisco 管理的 Amazon S3 bucket) 選項。
- 提供下列設定詳細資料:
- 選取區域:選取離您較近的區域,以降低延遲。
- 選取保留期限:選取時間範圍。保留時間為 7 天、14 天或 30 天。超過所選時間範圍後,系統就會刪除資料,且無法復原。如果擷取週期規律,請使用較短的時間範圍。您日後可以變更保留期限。
- 按一下 [儲存]。
- 按一下「繼續」,確認所選項目並接收啟用通知。
在隨即顯示的「Activation complete」(啟用完成) 視窗中,會顯示「Access key」(存取金鑰) 和「Secret key」(私密金鑰) 值。 - 複製「存取金鑰」和「私密金鑰」值。如果遺失這些金鑰,就必須重新產生。
- 依序點選「我知道了」>「繼續」。
- 摘要頁面會顯示設定和 bucket 名稱。您可以視貴機構的需求開啟或關閉記錄功能。不過,系統會根據保留期限清除記錄,不會因為新增資料而有所不同。
選用:為自行管理的 AWS S3 值區設定使用者存取金鑰
- 登入 AWS 管理主控台。
- 請按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」,以供日後使用。
- 按一下 [完成]。
- 選取 [權限] 分頁標籤。
- 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋並選取 AmazonS3FullAccess 政策。
- 點選「下一步」。
- 按一下「Add permissions」。
選用:設定自行管理的 Amazon S3 值區
登入 AWS 管理主控台。
前往 S3。
點選「建立值區」。
請提供下列設定詳細資料:
- 「Bucket name」(儲存桶名稱):提供 Amazon S3 儲存桶的名稱。
- 「Region」(區域):選取區域。
點選「建立」。
選用:為自行管理的 AWS S3 值區設定值區政策
- 按一下新建立的 bucket 開啟。
- 依序選取「內容」> 權限。
- 在「Permissions」(權限) 清單中,按一下「Add bucket policy」(新增 bucket 政策)。
輸入預先設定的值區政策,如下所示:
{ "Version": "2008-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*" }, { "Sid": "", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::BUCKET_NAME/*"}, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::BUCKET_NAME" }, { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::568526795995:user/logs" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::BUCKET_NAME" } ] }- 將
BUCKET_NAME替換成您提供的 Amazon S3 bucket 名稱。
- 將
按一下 [儲存]。
選用:自行管理的 Amazon S3 儲存貯體必須通過驗證
- 在 Cisco Umbrella 資訊主頁中,依序選取「Admin」>「Log management」>「Amazon S3」。
- 在「Bucket name」欄位中,指定確切的 Amazon S3 值區名稱,然後按一下「Verify」。
- 在驗證過程中,系統會將名為
README_FROM_UMBRELLA.txt的檔案從 Cisco Umbrella 上傳至 Amazon S3 值區。上傳讀我檔案後,可能需要重新整理瀏覽器才能看到。 - 下載
README_FROM_UMBRELLA.txt檔案,然後使用文字編輯器開啟。 - 複製並儲存檔案中的專屬 Cisco Umbrella 權杖。
- 前往 Cisco Umbrella 資訊主頁。
- 在「權杖號碼」欄位中指定權杖,然後按一下「儲存」。
- 如果驗證成功,資訊主頁會顯示確認訊息,指出儲存空間已通過驗證。如果收到錯誤訊息,指出無法驗證儲存空間,請重新檢查儲存空間名稱的語法,並檢查設定。
在 Google SecOps 中設定動態饋給,擷取 Cisco Umbrella Web Proxy 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Cisco Umbrella Web Proxy Logs」。
- 選取「Amazon S3 V2」做為「來源類型」。
- 將「記錄類型」設為「Cisco Umbrella Web Proxy」。
- 點選「下一步」。
指定下列輸入參數的值:
- S3 URI:值區 URI。
s3:/BUCKET_NAME- 請將
BUCKET_NAME替換為實際值區名稱。
- 請將
- 來源刪除選項:根據偏好設定選取刪除選項。
- S3 URI:值區 URI。
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
ampDisposition |
security_result.detection_fields[].value |
原始記錄中的 ampDisposition 值。 |
ampMalware |
security_result.detection_fields[].value |
原始記錄中的 ampMalware 值。 |
ampScore |
security_result.detection_fields[].value |
原始記錄中的 ampScore 值。 |
avDetections |
security_result.detection_fields[].value |
原始記錄中的 avDetections 值。 |
blockedCategories |
security_result.threat_name |
原始記錄中的 blockedCategories 值。 |
certificateErrors |
security_result.detection_fields[].value |
原始記錄中的 certificateErrors 值。 |
contentType |
security_result.detection_fields[].value |
原始記錄中的 contentType 值。 |
destinationIp |
target.ip |
原始記錄中的 destinationIp 值。 |
destinationListID |
security_result.detection_fields[].value |
原始記錄中的 destinationListID 值。 |
dlpstatus |
security_result.detection_fields[].value |
原始記錄中的 dlpstatus 值。 |
externalIp |
principal.ip |
原始記錄中的 externalIp 值。 |
fileAction |
security_result.detection_fields[].value |
原始記錄中的 fileAction 值。 |
fileName |
target.file.names |
原始記錄中的 fileName 值。 |
identitiesV8 |
principal.hostname |
原始記錄中的 identitiesV8 值。 |
identity |
principal.location.name |
原始記錄中的 identity 值。 |
internalIp |
principal.ip |
原始記錄中的 internalIp 值。 |
isolateAction |
security_result.detection_fields[].value |
原始記錄中的 isolateAction 值。 |
referer |
network.http.referral_url |
原始記錄中的 referer 值。 |
requestMethod |
network.http.method |
原始記錄中的 requestMethod 值。 |
requestSize |
security_result.detection_fields[].value |
原始記錄中的 requestSize 值。 |
responseBodySize |
security_result.detection_fields[].value |
原始記錄中的 responseBodySize 值。 |
responseSize |
security_result.detection_fields[].value |
原始記錄中的 responseSize 值。 |
ruleID |
security_result.rule_id |
原始記錄中的 ruleID 值。 |
rulesetID |
security_result.detection_fields[].value |
原始記錄中的 rulesetID 值。 |
sha |
security_result.about.file.sha256 |
原始記錄中的 sha 值。 |
statusCode |
network.http.response_code |
原始記錄中的 statusCode 值。 |
ts |
timestamp |
從原始記錄剖析 ts 的值,並轉換為時間戳記。 |
url |
target.url |
原始記錄中的 url 值。 |
userAgent |
network.http.user_agent |
原始記錄中的 userAgent 值。 |
verdict |
security_result.detection_fields[].value |
原始記錄中的 verdict 值。 |
warnstatus |
security_result.detection_fields[].value |
原始記錄中的 warnstatus 值。原始記錄中的 collection_time 值。硬式編碼為 NETWORK_HTTP。硬式編碼為 Cisco。硬式編碼為 Umbrella。硬式編碼為 UMBRELLA_WEBPROXY。衍生自網址欄位的架構 (http 或 https)。使用 User-Agent 剖析程式庫從 userAgent 欄位剖析。原始記錄中的 requestSize 值,已轉換為整數。原始記錄中的 responseSize 值,已轉換為整數。如果 identityType (或 identityTypeV8 搭配 identitiesV8) 指出使用者,系統會從 identity 欄位衍生出這個值。進一步剖析,擷取使用者詳細資料,例如顯示名稱、名字、姓氏和電子郵件地址。從 verdict 欄位對應:allowed 或 allowed -> ALLOW,其他值 -> BLOCK。如果 categories 不為空白,請設為 NETWORK_CATEGORIZED_CONTENT。原始記錄中的 categories 值。依據 verdict 和其他欄位 (如有)。通常是 Traffic allowed 或 Traffic blocked。如果 verdict 不是 allowed 或 blocked,且 statusCode 存在,則摘要為 Traffic %{statusCode}。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。