Raccogli i log di CloudPassage Halo

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di CloudPassage Halo (in precedenza CloudPassage) configurando un feed Google Security Operations utilizzando l'API di terze parti.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CLOUD_PASSAGE.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Accesso privilegiato al portale CloudPassage Halo con autorizzazioni di amministratore
Account CloudPassage Halo attivo con accesso API abilitato

Configurare l'accesso all'API CloudPassage Halo

Per consentire a Google SecOps di estrarre i log eventi, devi creare una coppia di chiavi API con autorizzazioni di sola lettura.

Crea una coppia di chiavi API

Accedi al portale CloudPassage Halo.
Vai a Impostazioni > Amministrazione sito > Chiavi API.
Fai clic su Crea chiave o Nuova chiave API.
Fornisci i seguenti dettagli di configurazione:
- Nome chiave: inserisci un nome descrittivo (ad esempio, Google SecOps Integration).
- Solo lettura: seleziona Sì (l'accesso di sola lettura è consigliato per la sicurezza).
Fai clic su Crea.

Registra le credenziali API

Dopo aver creato la chiave API, riceverai le seguenti credenziali:

ID chiave: l'identificatore univoco della chiave API (ad esempio, abc123def456)
Secret Key: la tua chiave segreta API (ad esempio, xyz789uvw012)

Autorizzazioni API richieste

Le chiavi API CloudPassage Halo supportano i seguenti livelli di autorizzazione:

Livello di autorizzazione	Accesso	Finalità
Sola lettura	Leggi	Recuperare i dati e la configurazione degli eventi (consigliato)
Accesso completo	Lettura + scrittura	Recuperare eventi e modificare la configurazione (non obbligatorio)

Configurare i feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, CloudPassage Halo Events).
Seleziona API di terze parti come Tipo di origine.
Seleziona Cloud Passage come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Nome utente: inserisci l'ID chiave dalla coppia di chiavi API CloudPassage Halo creata in precedenza.
- Secret: inserisci la chiave segreta dalla coppia di chiavi API CloudPassage Halo creata in precedenza.
- Tipi di eventi (facoltativo): specifica i tipi di eventi da importare. Inserisci un tipo di evento per riga.
  - Se lasci vuoto questo campo, il feed recupererà automaticamente i seguenti tipi di eventi predefiniti:
    - fim_target_integrity_changed (Eventi di monitoraggio dell'integrità dei file)
    - lids_rule_failed (eventi Intrusion Detection System basato sui log)
    - sca_rule_failed (eventi di valutazione della configurazione di sicurezza)
  Per recuperare altri tipi di eventi, inseriscili uno per riga. Ad esempio:
```
fim_target_integrity_changed
lids_rule_failed
sca_rule_failed
lids_rule_passed
sca_rule_passed
agent_connection_lost
```
Nota: i tipi di eventi disponibili includono, a titolo esemplificativo, gli eventi fim_*, lids_*, sca_*, agent_*, firewall_* e server_*. Consulta la documentazione dell'API CloudPassage Halo per un elenco completo dei tipi di eventi.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Dopo la configurazione, il feed inizia a recuperare i log eventi dall'API CloudPassage Halo in ordine cronologico.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`id`	`metadata.product_log_id`	Identificatore univoco evento
`created_at`	`metadata.event_timestamp`	Timestamp della creazione dell'evento
`type`	`metadata.product_event_type`	Tipo di evento (ad es. fim_target_integrity_changed)
`server_hostname`	`target.hostname`	Nome host del server interessato
`server_platform`	`target.platform`	Piattaforma del sistema operativo
`server_primary_ip_address`	`target.ip`	Indirizzo IP principale del server
`rule_name`	`security_result.rule_name`	Nome della regola di sicurezza che ha attivato l'evento
`critical`	`security_result.severity`	Livello di criticità dell'evento
`policy_name`	`security_result.category`	Nome policy di sicurezza
`user`	`principal.user.userid`	Utente associato all'evento
`message`	`security_result.description`	Descrizione dell'evento o messaggio

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.