Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Fidelis CloudPassage Halo

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log di CloudPassage Halo (in precedenza CloudPassage) configurando un feed di Google Security Operations utilizzando l'API di terze parti.

Un'etichetta di ingestion identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di ingestion CLOUD_PASSAGE.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Accesso con privilegi al portale CloudPassage Halo con autorizzazioni di amministratore
Account CloudPassage Halo attivo con accesso API abilitato

Configura l'accesso all'API CloudPassage Halo

Per consentire a Google SecOps di recuperare i log degli eventi, devi creare una coppia di chiavi API con autorizzazioni di sola lettura.

Crea una coppia di chiavi API

Accedi al portale CloudPassage Halo.
Vai a Impostazioni > Amministrazione del sito > Chiavi API.
Fai clic su Crea chiave o Nuova chiave API.
Fornisci i seguenti dettagli di configurazione:
- Nome chiave: inserisci un nome descrittivo (ad esempio Google SecOps Integration).
- Sola lettura: seleziona Sì (per la sicurezza è consigliato l'accesso di sola lettura).
Fai clic su Crea.

Registra le credenziali API

Dopo aver creato la chiave API, riceverai le seguenti credenziali:

ID chiave: identificatore univoco della chiave API (ad esempio, abc123def456)
Chiave segreta: chiave segreta API (ad esempio, xyz789uvw012)

Importante: copia e salva immediatamente sia l'ID chiave sia la chiave segreta. La chiave segreta non può essere recuperata dopo aver chiuso la finestra di dialogo di creazione.

Autorizzazioni API richieste

Le chiavi API di CloudPassage Halo supportano i seguenti livelli di autorizzazione:

Livello di autorizzazione	Accesso	Finalità
Sola lettura	Leggi	Recupera i dati sugli eventi e la configurazione (consigliato)
Accesso completo	Leggi + Scrivi	Recupera gli eventi e modifica la configurazione (non obbligatorio)

Configura i feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, CloudPassage Halo Events).
Seleziona API di terze parti come Tipo di origine.
Seleziona Cloud Passage come Tipo di log.
Fai clic su Avanti.

Specifica i valori per i seguenti parametri di input:

Nome utente: inserisci l'ID chiave della coppia di chiavi API di CloudPassage Halo creata in precedenza.
Secret: inserisci la chiave segreta della coppia di chiavi API di CloudPassage Halo creata in precedenza.
Tipi di eventi (facoltativo): specifica i tipi di eventi da eseguire l'ingestion. Inserisci un tipo di evento per riga.

Se lasci vuoto questo campo, il feed recupererà automaticamente i seguenti tipi di eventi predefiniti:
- fim_target_integrity_changed (eventi di monitoraggio dell'integrità dei file)
- lids_rule_failed (eventi Intrusion Detection System basato sui log)
- sca_rule_failed (eventi di valutazione della configurazione di sicurezza)
Per recuperare altri tipi di eventi, inseriscili uno per riga. Ad esempio:
```
  fim\_target\_integrity\_changed
  lids\_rule\_failed
  sca\_rule\_failed
  lids\_rule\_passed
  sca\_rule\_passed
  agent\_connection\_lost
```
Nota: i tipi di eventi disponibili includono, a titolo esemplificativo, gli eventi fim_*, lids_*, sca_*, agent_*, firewall_* e server_*. Per un elenco completo dei tipi di eventi, consulta la documentazione dell'API CloudPassage Halo.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di ingestion: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Esamina la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Dopo la configurazione, il feed inizia a recuperare i log degli eventi dall'API CloudPassage Halo in ordine cronologico.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
`id`	`metadata.product_log_id`	Identificatore univoco dell'evento
`created_at`	`metadata.event_timestamp`	Timestamp di creazione dell'evento
`type`	`metadata.product_event_type`	Tipo di evento (ad es. fim_target_integrity_changed)
`server_hostname`	`target.hostname`	Nome host del server interessato
`server_platform`	`target.platform`	Piattaforma del sistema operativo
`server_primary_ip_address`	`target.ip`	Indirizzo IP principale del server
`rule_name`	`security_result.rule_name`	Nome della regola di sicurezza che ha attivato l'evento
`critical`	`security_result.severity`	Livello di criticità dell'evento
`policy_name`	`security_result.category`	Nome policy di sicurezza
`user`	`principal.user.userid`	Utente associato all'evento
`message`	`security_result.description`	Descrizione o messaggio dell'evento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.