Recopila registros de CloudPassage Halo

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de CloudPassage Halo (anteriormente CloudPassage) configurando un feed de Google Security Operations con la API de terceros.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CLOUD_PASSAGE.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso privilegiado al portal de CloudPassage Halo con permisos de administrador
Cuenta activa de CloudPassage Halo con acceso a la API habilitado

Configura el acceso a la API de CloudPassage Halo

Para permitir que Google SecOps extraiga registros de eventos, debes crear un par de claves de API con permisos de solo lectura.

Crea un par de claves de API

Accede al portal de CloudPassage Halo.
Ve a Configuración > Administración del sitio > Claves de API.
Haz clic en Crear clave o Clave de API nueva.
Proporciona los siguientes detalles de configuración:
- Nombre de la clave: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Integration).
- Solo lectura: Selecciona Sí (se recomienda el acceso de solo lectura por motivos de seguridad).
Haz clic en Crear.

Registra las credenciales de la API

Después de crear la clave de API, recibirás las siguientes credenciales:

ID de clave: Es el identificador único de tu clave de API (por ejemplo, abc123def456).
Clave secreta: Tu clave secreta de la API (por ejemplo, xyz789uvw012)

Permisos de API necesarios

Las claves de API de CloudPassage Halo admiten los siguientes niveles de permisos:

Nivel de permiso	Acceso	Objetivo
Solo lectura	Leer	Recupera datos y configuración de eventos (recomendado)
Acceso completo	Lectura y escritura	Recuperar eventos y modificar la configuración (no obligatorio)

Configura feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, CloudPassage Halo Events).
Selecciona API de terceros como el Tipo de origen.
Selecciona Cloud Passage como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Nombre de usuario: Ingresa el ID de clave del par de claves de la API de CloudPassage Halo que creaste antes.
- Secreto: Ingresa la clave secreta del par de claves de API de CloudPassage Halo que creaste antes.
- Tipos de eventos (opcional): Especifica qué tipos de eventos deseas transferir. Ingresa un tipo de evento por línea.
  - Si dejas este campo vacío, el feed recuperará automáticamente los siguientes tipos de eventos predeterminados:
    - fim_target_integrity_changed (Eventos de supervisión de integridad de archivos)
    - lids_rule_failed (Eventos del sistema de detección de intrusiones basado en registros)
    - sca_rule_failed (Eventos de evaluación de la configuración de seguridad)
  Para recuperar tipos de eventos adicionales, ingresa uno por línea. Por ejemplo:
```
fim_target_integrity_changed
lids_rule_failed
sca_rule_failed
lids_rule_passed
sca_rule_passed
agent_connection_lost
```
Nota: Los tipos de eventos disponibles incluyen, sin limitaciones, los eventos fim_*, lids_*, sca_*, agent_*, firewall_* y server_*. Consulta la documentación de la API de CloudPassage Halo para obtener una lista completa de los tipos de eventos.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Después de la configuración, el feed comienza a recuperar los registros de eventos de la API de CloudPassage Halo en orden cronológico.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`id`	`metadata.product_log_id`	Identificador de evento único
`created_at`	`metadata.event_timestamp`	Marca de tiempo de creación del evento
`type`	`metadata.product_event_type`	Tipo de evento (p.ej., fim_target_integrity_changed)
`server_hostname`	`target.hostname`	Nombre de host del servidor afectado
`server_platform`	`target.platform`	Plataforma del sistema operativo
`server_primary_ip_address`	`target.ip`	Dirección IP principal del servidor
`rule_name`	`security_result.rule_name`	Nombre de la regla de seguridad que activó el evento
`critical`	`security_result.severity`	Nivel de gravedad del evento
`policy_name`	`security_result.category`	Nombre de la política de seguridad
`user`	`principal.user.userid`	Usuario asociado con el evento
`message`	`security_result.description`	Descripción o mensaje del evento

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.