收集 CloudPassage Halo 記錄

本文說明如何使用第三方 API 設定 Google Security Operations 資訊提供，藉此收集 CloudPassage Halo (舊稱 CloudPassage) 記錄。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 CLOUD_PASSAGE 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• 具備管理員權限的 CloudPassage Halo 入口網站特殊存取權
• 已啟用 API 存取權的有效 CloudPassage Halo 帳戶

設定 CloudPassage Halo API 存取權

如要讓 Google SecOps 擷取事件記錄，您必須建立具有唯讀權限的 API 金鑰配對。

建立 API 金鑰組

1. 登入 CloudPassage Halo 入口網站。
2. 依序前往「設定」>「網站管理」>「API 金鑰」。
3. 按一下「建立金鑰」或「新增 API 金鑰」。
4. 請提供下列設定詳細資料：
   • 金鑰名稱：輸入描述性名稱 (例如 Google SecOps Integration)。
   • 唯讀：選取「是」 (建議採用唯讀存取權，確保安全)。
5. 點選「建立」。

記錄 API 憑證

建立 API 金鑰後，您會收到下列憑證：

• 金鑰 ID：專屬 API 金鑰 ID (例如 abc123def456)
• 密鑰：您的 API 密鑰 (例如 xyz789uvw012)

必要的 API 權限

CloudPassage Halo API 金鑰支援下列權限等級：

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 CloudPassage Halo Events)。
5. 選取「第三方 API」做為「來源類型」。
6. 選取「Cloud Passage」做為「記錄類型」。
7. 點選「下一步」。

8. 指定下列輸入參數的值：

   • 使用者名稱：輸入先前建立的 CloudPassage Halo API 金鑰組中的「金鑰 ID」。
   • 密鑰：輸入先前建立的 CloudPassage Halo API 金鑰配對中的密鑰。

   • 事件類型 (選用)：指定要擷取的事件類型。每行輸入一個事件類型。

     • 如果將這個欄位留空，動態消息會自動擷取下列預設事件類型：
       • fim_target_integrity_changed (檔案完整性監控事件)
       • lids_rule_failed (以記錄為準的入侵偵測系統事件)
       • sca_rule_failed (安全性設定評估事件)

     如要擷取其他事件類型，請每行輸入一個類型。例如：

     fim_target_integrity_changed
     lids_rule_failed
     sca_rule_failed
     lids_rule_passed
     sca_rule_passed
     agent_connection_lost
     

   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。

9. 點選「下一步」。

10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

設定完成後，動態消息就會開始依時間順序從 CloudPassage Halo API 擷取事件記錄。

UDM 對應表

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。