收集 CloudPassage Halo 日志

本文档介绍了如何使用第三方 API 设置 Google Security Operations Feed 来收集 CloudPassage Halo（以前称为 CloudPassage）日志。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CLOUD_PASSAGE 注入标签的解析器。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例
• 拥有对 CloudPassage Halo 门户的特权访问权限，并具有管理员权限
• 已启用 API 访问权限的有效 CloudPassage Halo 账号

配置 CloudPassage Halo API 访问权限

如需允许 Google SecOps 拉取事件日志，您需要创建具有只读权限的 API 密钥对。

创建 API 密钥对

1. 登录 CloudPassage Halo 门户。
2. 依次前往设置 > 网站管理 > API 密钥。
3. 点击 Create Key 或 New API Key。
4. 提供以下配置详细信息：
   • 密钥名称：输入一个描述性名称（例如 Google SecOps Integration）。
   • 只读：选择是（建议使用只读权限以确保安全）。
5. 点击创建。

记录 API 凭据

创建 API 密钥后，您将收到以下凭据：

• 密钥 ID：您的唯一 API 密钥标识符（例如 abc123def456）
• Secret Key：您的 API Secret 密钥（例如 xyz789uvw012）

所需 API 权限

CloudPassage Halo API 密钥支持以下权限级别：

设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置> Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在 Feed 名称字段中，输入 Feed 的名称（例如 CloudPassage Halo Events）。
5. 选择第三方 API 作为来源类型。
6. 选择 Cloud Passage 作为日志类型。
7. 点击下一步。

8. 为以下输入参数指定值：

   • 用户名：输入之前创建的 CloudPassage Halo API 密钥对中的密钥 ID。
   • Secret：输入之前创建的 CloudPassage Halo API 密钥对中的 Secret Key。

   • 事件类型（可选）：指定要注入的事件类型。每行输入一个活动类型。

     • 如果您将此字段留空，Feed 会自动检索以下默认事件类型：
       • fim_target_integrity_changed（文件完整性监控事件）
       • lids_rule_failed（基于日志的 Intrusion Detection System 事件）
       • sca_rule_failed（安全配置评估事件）

     如需检索其他事件类型，请在每行中输入一个事件类型。例如：

     fim_target_integrity_changed
     lids_rule_failed
     sca_rule_failed
     lids_rule_passed
     sca_rule_passed
     agent_connection_lost
     

   • 资产命名空间：资产命名空间。
   • 注入标签：要应用于此 Feed 中事件的标签。

9. 点击下一步。

10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

设置完成后，Feed 会开始按时间顺序从 CloudPassage Halo API 中检索事件日志。

UDM 映射表

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。