CloudPassage Halo のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、サードパーティ API を使用して Google Security Operations フィードを設定し、CloudPassage Halo(旧称 CloudPassage)ログを収集する方法について説明します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、取り込みラベル CLOUD_PASSAGE が付加されたパーサーに適用されます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- 管理者権限を持つ CloudPassage Halo ポータルへの特権アクセス
- API アクセスが有効になっているアクティブな CloudPassage Halo アカウント
CloudPassage Halo API アクセスを構成する
Google SecOps がイベントログを取得できるようにするには、読み取り専用権限を持つ API キーペアを作成する必要があります。
API キーペアを作成する
- CloudPassage Halo ポータルにログインします。
- [設定> サイト管理> API キー] に移動します。
- [キーを作成] または [新しい API キー] をクリックします。
- 次の構成の詳細を入力します。
- キー名: わかりやすい名前を入力します(例:
Google SecOps Integration)。 - 読み取り専用: [はい] を選択します(セキュリティのため、読み取り専用アクセスをおすすめします)。
- キー名: わかりやすい名前を入力します(例:
- [作成] をクリックします。
API 認証情報を記録する
API キーを作成すると、次の認証情報が発行されます。
- キー ID: 一意の API キー識別子(例:
abc123def456) - Secret Key: API シークレット キー(例:
xyz789uvw012)
必要な API 権限
CloudPassage Halo API キーは、次の権限レベルをサポートしています。
| 権限レベル | アクセス | 目的 |
|---|---|---|
| 読み取り専用 | 読み取り | イベントデータと構成を取得する(推奨) |
| フルアクセス | 読み取り + 書き込み | イベントを取得して構成を変更する(必須ではありません) |
フィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
CloudPassage Halo Events)。 - [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Cloud Passage] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Username: 前の手順で作成した CloudPassage Halo API キーペアのキー ID を入力します。
- Secret: 前もって作成した CloudPassage Halo API キーペアの秘密鍵を入力します。
イベントタイプ(省略可): 取り込むイベントタイプを指定します。イベントタイプを 1 行に 1 つずつ入力します。
- このフィールドを空のままにすると、フィードは次のデフォルトのイベントタイプを自動的に取得します。
fim_target_integrity_changed(ファイル整合性モニタリング イベント)lids_rule_failed(ログベースの侵入検知システム イベント)sca_rule_failed(セキュリティ構成評価イベント)
追加のイベントタイプを取得するには、1 行に 1 つずつ入力します。次に例を示します。
fim_target_integrity_changed lids_rule_failed sca_rule_failed lids_rule_passed sca_rule_passed agent_connection_lost- このフィールドを空のままにすると、フィードは次のデフォルトのイベントタイプを自動的に取得します。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
設定後、フィードは CloudPassage Halo API からイベントログを時系列順に取得し始めます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
id |
metadata.product_log_id |
一意のイベント識別子 |
created_at |
metadata.event_timestamp |
イベント作成のタイムスタンプ |
type |
metadata.product_event_type |
イベントタイプ(fim_target_integrity_changed など) |
server_hostname |
target.hostname |
影響を受けるサーバーのホスト名 |
server_platform |
target.platform |
オペレーティング システム プラットフォーム |
server_primary_ip_address |
target.ip |
サーバーのプライマリ IP アドレス |
rule_name |
security_result.rule_name |
イベントをトリガーしたセキュリティ ルールの名前 |
critical |
security_result.severity |
イベントの重大度レベル |
policy_name |
security_result.category |
セキュリティ ポリシー名 |
user |
principal.user.userid |
イベントに関連付けられたユーザー |
message |
security_result.description |
イベントの説明またはメッセージ |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。