CloudPassage Halo-Logs von Fidelis sammeln

In diesem Dokument wird beschrieben, wie Sie CloudPassage Halo-Logs (ehemals CloudPassage) erfassen, indem Sie einen Google Security Operations-Feed mit der Drittanbieter-API einrichten.

Ein Aufnahmelabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel CLOUD_PASSAGE.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Privilegierter Zugriff auf das CloudPassage Halo-Portal mit Administratorberechtigungen
• Aktives CloudPassage Halo-Konto mit aktiviertem API-Zugriff

CloudPassage Halo-API-Zugriff konfigurieren

Damit Google SecOps Ereignislogs abrufen kann, müssen Sie ein API-Schlüsselpaar mit Leseberechtigungen erstellen.

API-Schlüsselpaar erstellen

1. Melden Sie sich im CloudPassage Halo-Portal an.
2. Rufen Sie Einstellungen > Site Administration > API-Schlüssel auf.
3. Klicken Sie auf Schlüssel erstellen oder Neuer API-Schlüssel.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Schlüsselname: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Integration.
   • Schreibgeschützt: Wählen Sie Ja aus. Aus Sicherheitsgründen wird der schreibgeschützte Zugriff empfohlen.
5. Klicken Sie auf Erstellen.

API-Anmeldedaten aufzeichnen

Nachdem Sie den API-Schlüssel erstellt haben, erhalten Sie die folgenden Anmeldedaten:

• Schlüssel-ID: Ihre eindeutige API-Schlüssel-ID, z. B. abc123def456
• Secret Key: Ihr API-Secret Key, z. B. xyz789uvw012

Wichtig: Kopieren und speichern Sie sofort sowohl die Schlüssel-ID als auch den Secret Key. Der Secret Key kann nach dem Schließen des Erstellungsdialogs nicht mehr abgerufen werden.

Erforderliche API-Berechtigungen

CloudPassage Halo-API-Schlüssel unterstützen die folgenden Berechtigungsstufen:

Feeds einrichten

So konfigurieren Sie einen Feed:

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CloudPassage Halo Events.
5. Wählen Sie Drittanbieter-API als Quelltyp aus.
6. Wählen Sie Cloud Passage als Logtyp aus.
7. Klicken Sie auf Weiter.

Geben Sie Werte für die folgenden Eingabeparameter an:

1. Nutzername: Geben Sie die Schlüssel-ID aus dem zuvor erstellten CloudPassage Halo-API-Schlüsselpaar ein.
2. Secret: Geben Sie den Secret Key aus dem zuvor erstellten CloudPassage Halo-API-Schlüsselpaar ein.

3. Ereignistypen (optional): Geben Sie an, welche Ereignistypen aufgenommen werden sollen. Geben Sie pro Zeile einen Ereignistyp ein.

   Wenn Sie dieses Feld leer lassen, werden die folgenden Standardereignistypen automatisch vom Feed abgerufen:

   • fim_target_integrity_changed (Ereignisse zur Dateiintegritätsüberwachung)
   • lids_rule_failed (Ereignisse des logbasierten Intrusion Detection System)
   • sca_rule_failed (Ereignisse zur Sicherheitskonfigurationsbewertung)

   Wenn Sie zusätzliche Ereignistypen abrufen möchten, geben Sie sie jeweils in einer eigenen Zeile ein. Beispiel:

     fim\_target\_integrity\_changed
     lids\_rule\_failed
     sca\_rule\_failed
     lids\_rule\_passed
     sca\_rule\_passed
     agent\_connection\_lost
   

4. Asset-Namespace: Der Asset-Namespace.

5. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

6. Klicken Sie auf Weiter.

7. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Nach der Einrichtung beginnt der Feed, Ereignislogs chronologisch aus der CloudPassage Halo-API abzurufen.

UDM-Zuordnungstabelle

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten