CloudPassage Halo-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie CloudPassage Halo-Logs (früher CloudPassage) erfassen, indem Sie einen Google Security Operations-Feed über die Drittanbieter-API einrichten.

Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel CLOUD_PASSAGE.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Berechtigter Zugriff auf das CloudPassage Halo-Portal mit Administratorberechtigungen
• Aktives CloudPassage Halo-Konto mit aktiviertem API-Zugriff

CloudPassage Halo-API-Zugriff konfigurieren

Damit Google SecOps Ereignisprotokolle abrufen kann, müssen Sie ein API-Schlüsselpaar mit schreibgeschützten Berechtigungen erstellen.

API-Schlüsselpaar erstellen

1. Melden Sie sich im CloudPassage Halo-Portal an.
2. Rufen Sie Einstellungen > Website-Administration > API-Schlüssel auf.
3. Klicken Sie auf Schlüssel erstellen oder Neuer API-Schlüssel.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Schlüsselname: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Integration.
   • Schreibgeschützt: Wählen Sie Ja aus. Aus Sicherheitsgründen wird ein schreibgeschützter Zugriff empfohlen.
5. Klicken Sie auf Erstellen.

API-Anmeldedaten aufzeichnen

Nachdem Sie den API-Schlüssel erstellt haben, erhalten Sie die folgenden Anmeldedaten:

• Schlüssel-ID: Ihre eindeutige API-Schlüssel-ID (z. B. abc123def456)
• Secret Key: Ihr API-Secret-Schlüssel (z. B. xyz789uvw012)

Erforderliche API-Berechtigungen

CloudPassage Halo-API-Schlüssel unterstützen die folgenden Berechtigungsstufen:

Feeds einrichten

So konfigurieren Sie einen Feed:

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CloudPassage Halo Events.
5. Wählen Sie Drittanbieter-API als Quelltyp aus.
6. Wählen Sie Cloud Passage als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Nutzername: Geben Sie die Schlüssel-ID aus dem zuvor erstellten CloudPassage Halo-API-Schlüsselpaar ein.
   • Secret: Geben Sie den Secret Key aus dem zuvor erstellten CloudPassage Halo-API-Schlüsselpaar ein.

   • Ereignistypen (optional): Geben Sie an, welche Ereignistypen aufgenommen werden sollen. Geben Sie pro Zeile einen Ereignistyp ein.

     • Wenn Sie dieses Feld leer lassen, werden automatisch die folgenden Standardereignistypen abgerufen:
       • fim_target_integrity_changed (Ereignisse zur Dateiintegritätsüberwachung)
       • lids_rule_failed (Ereignisse des logbasierten Intrusion Detection System)
       • sca_rule_failed (Ereignisse zur Sicherheitskonfigurationsanalyse)

     Wenn Sie zusätzliche Ereignistypen abrufen möchten, geben Sie sie jeweils in einer eigenen Zeile ein. Beispiel:

     fim_target_integrity_changed
     lids_rule_failed
     sca_rule_failed
     lids_rule_passed
     sca_rule_passed
     agent_connection_lost
     

   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Nach der Einrichtung werden die Ereignisprotokolle in chronologischer Reihenfolge aus der CloudPassage Halo API abgerufen.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten