Coletar registros do CloudPassage Halo

Este documento explica como coletar registros do CloudPassage Halo (antigo CloudPassage) configurando um feed do Google Security Operations usando a API de terceiros.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CLOUD_PASSAGE.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Acesso privilegiado ao portal do CloudPassage Halo com permissões de administrador
• Conta ativa do CloudPassage Halo com acesso à API ativado

Configurar o acesso à API do CloudPassage Halo

Para permitir que o Google SecOps extraia registros de eventos, crie um par de chaves de API com permissões somente leitura.

Criar par de chaves de API

1. Faça login no portal do CloudPassage Halo.
2. Acesse Configurações > Administração do site > Chaves de API.
3. Clique em Criar chave ou Nova chave de API.
4. Informe os seguintes detalhes de configuração:
   • Nome da chave: insira um nome descritivo (por exemplo, Google SecOps Integration).
   • Somente leitura: selecione Sim. O acesso somente leitura é recomendado por motivos de segurança.
5. Clique em Criar.

Registrar credenciais de API

Depois de criar a chave de API, você vai receber as seguintes credenciais:

• ID da chave: seu identificador exclusivo da chave de API (por exemplo, abc123def456)
• Chave secreta: sua chave secreta de API (por exemplo, xyz789uvw012)

Permissões de API necessárias

As chaves de API do CloudPassage Halo são compatíveis com os seguintes níveis de permissão:

Configurar feeds

Para configurar um feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, CloudPassage Halo Events).
5. Selecione API de terceiros como o Tipo de origem.
6. Selecione Cloud Passage como o Tipo de registro.
7. Clique em Próxima.

8. Especifique valores para os seguintes parâmetros de entrada:

   • Nome de usuário: insira o ID da chave do par de chaves de API do CloudPassage Halo criado anteriormente.
   • Secret: insira a Secret Key do par de chaves de API do CloudPassage Halo criado anteriormente.

   • Tipos de evento (opcional): especifique quais tipos de evento ingerir. Insira um tipo de evento por linha.

     • Se você deixar esse campo em branco, o feed vai recuperar automaticamente os seguintes tipos de eventos padrão:
       • fim_target_integrity_changed (eventos de monitoramento de integridade de arquivos)
       • lids_rule_failed (eventos do sistema de detecção de intrusões com base em registros)
       • sca_rule_failed (eventos de avaliação da configuração de segurança)

     Para recuperar outros tipos de eventos, insira um por linha. Exemplo:

     fim_target_integrity_changed
     lids_rule_failed
     sca_rule_failed
     lids_rule_passed
     sca_rule_passed
     agent_connection_lost
     

   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

9. Clique em Próxima.

10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Após a configuração, o feed começa a recuperar registros de eventos da API CloudPassage Halo em ordem cronológica.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.