Collecter les journaux CloudPassage Halo
Ce document explique comment collecter les journaux CloudPassage Halo (anciennement CloudPassage) en configurant un flux Google Security Operations à l'aide de l'API tierce.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion CLOUD_PASSAGE.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Une instance Google SecOps
- Accès privilégié au portail CloudPassage Halo avec des autorisations d'administrateur
- Compte CloudPassage Halo actif avec accès à l'API activé
Configurer l'accès à l'API CloudPassage Halo
Pour permettre à Google SecOps d'extraire les journaux d'événements, vous devez créer une paire de clés API avec des autorisations en lecture seule.
Créer une paire de clés API
- Connectez-vous au portail CloudPassage Halo.
- Accédez à Paramètres> Administration du site> Clés API.
- Cliquez sur Créer une clé ou Nouvelle clé API.
- Fournissez les informations de configuration suivantes :
- Nom de la clé : saisissez un nom descriptif (par exemple,
Google SecOps Integration). - Lecture seule : sélectionnez Oui (l'accès en lecture seule est recommandé pour la sécurité).
- Nom de la clé : saisissez un nom descriptif (par exemple,
- Cliquez sur Créer.
Enregistrer les identifiants de l'API
Une fois la clé API créée, vous recevrez les identifiants suivants :
- ID de clé : identifiant unique de votre clé API (par exemple,
abc123def456) - Clé secrète : votre clé secrète d'API (par exemple,
xyz789uvw012)
Autorisations d'API requises
Les clés API CloudPassage Halo sont compatibles avec les niveaux d'autorisation suivants :
| Niveau d'autorisation | Accès | Objectif |
|---|---|---|
| Lecture seule | Lire | Récupérer les données et la configuration des événements (recommandé) |
| Accès complet | Lecture et écriture | Récupérer des événements et modifier la configuration (facultatif) |
Configurer des flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
CloudPassage Halo Events). - Sélectionnez API tierce comme type de source.
- Sélectionnez Cloud Passage comme type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Nom d'utilisateur : saisissez l'ID de clé de la paire de clés API CloudPassage Halo créée précédemment.
- Secret : saisissez la clé secrète de la paire de clés API CloudPassage Halo créée précédemment.
Types d'événements (facultatif) : spécifiez les types d'événements à ingérer. Saisissez un type d'événement par ligne.
- Si vous laissez ce champ vide, le flux récupérera automatiquement les types d'événements par défaut suivants :
fim_target_integrity_changed(événements de surveillance de l'intégrité des fichiers)lids_rule_failed(Événements du système de détection des intrusions basé sur les journaux)sca_rule_failed(événements d'évaluation de la configuration de sécurité)
Pour récupérer d'autres types d'événements, saisissez-en un par ligne. Exemple :
fim_target_integrity_changed lids_rule_failed sca_rule_failed lids_rule_passed sca_rule_passed agent_connection_lost- Si vous laissez ce champ vide, le flux récupérera automatiquement les types d'événements par défaut suivants :
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Une fois la configuration terminée, le flux commence à récupérer les journaux d'événements de l'API CloudPassage Halo dans l'ordre chronologique.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
id |
metadata.product_log_id |
Identifiant unique de l'événement |
created_at |
metadata.event_timestamp |
Date et heure de création de l'événement |
type |
metadata.product_event_type |
Type d'événement (par exemple, fim_target_integrity_changed) |
server_hostname |
target.hostname |
Nom d'hôte du serveur concerné |
server_platform |
target.platform |
Plate-forme du système d'exploitation |
server_primary_ip_address |
target.ip |
Adresse IP principale du serveur |
rule_name |
security_result.rule_name |
Nom de la règle de sécurité qui a déclenché l'événement |
critical |
security_result.severity |
Niveau de criticité de l'événement |
policy_name |
security_result.category |
Nom de la règle de sécurité |
user |
principal.user.userid |
Utilisateur associé à l'événement |
message |
security_result.description |
Description ou message de l'événement |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.