本頁面由 Cloud Translation API 翻譯而成。

收集 Cohesity 記錄

支援的國家/地區：

Google SecOps SIEM

總覽

這個剖析器會使用 grok 模式，從 Cohesity 備份軟體系統記錄訊息中擷取欄位。這個外掛程式會處理標準系統記錄訊息和 JSON 格式的記錄，將擷取的欄位對應至 UDM，並根據主體和目標 ID 的存在與否，動態指派 event_type。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
Cohesity 管理的特殊存取權。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「Feed name」(動態消息名稱) 欄位中，輸入動態消息名稱 (例如「Cohesity Logs」)。
選取「Webhook」做為「來源類型」。
選取「Cohesity」做為「記錄類型」。
點選「下一步」。
選用：指定下列輸入參數的值：
- 分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。
點選「下一步」。
在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。
按一下「產生密鑰」，產生驗證這個動態饋給的密鑰。
複製並儲存密鑰。您無法再次查看這個密鑰。如有需要，您可以重新產生新的密鑰，但這項操作會使先前的密鑰失效。
在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
按一下 [完成]。

為 Webhook 資訊提供建立 API 金鑰

依序前往 Google Cloud 控制台 >「憑證」。

前往「憑證」
按一下 [Create credentials] (建立憑證)，然後選取 [API key] (API 金鑰)。
將 API 金鑰存取權限制為 Chronicle API。

指定端點網址

在用戶端應用程式中，指定 webhook 動態饋給中提供的 HTTPS 端點網址。
如要啟用驗證，請在自訂標頭中指定 API 金鑰和密鑰，格式如下：
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
建議：請將 API 金鑰指定為標頭，而非在網址中指定。
如果 Webhook 用戶端不支援自訂標頭，您可以使用查詢參數指定 API 金鑰和密鑰，格式如下：
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
更改下列內容：
- ENDPOINT_URL：動態消息端點網址。
- API_KEY：用於向 Google SecOps 進行驗證的 API 金鑰。
- SECRET：您產生的密鑰，用於驗證動態消息。

在 Cohesity 中設定 Google SecOps 的 Webhook

登入 Cohesity 叢集管理。
前往「保護工作」部分。
選取要設定 Webhook 的保護工作。
依序點選保護作業旁的「動作」選單 (三個垂直排列的圓點) >「編輯」。
選取「快訊」分頁標籤。
按一下「+ 新增 Webhook」。
指定下列參數的值：
- 名稱：提供 Webhook 的描述性名稱 (例如「Google SecOps」)。
- 網址：輸入 Google SecOps <ENDPOINT_URL>。
- 方法：選取「POST」。
- 內容類型：選取「application/json」。
- 酬載：這個欄位取決於您要傳送的特定資料。
- 啟用 Webhook：勾選方塊即可啟用 Webhook。
儲存設定：按一下「儲存」，將 Webhook 設定套用至保護工作。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`ClientIP`	`principal.asset.ip`	直接對應至「`ClientIP`」欄位。
`ClientIP`	`principal.ip`	直接對應至「`ClientIP`」欄位。
`description`	`security_result.description`	直接對應至「`description`」欄位。
`DomainName`	`target.asset.hostname`	直接對應至「`DomainName`」欄位。
`DomainName`	`target.hostname`	直接對應至「`DomainName`」欄位。
`EntityPath`	`target.url`	直接對應至「`EntityPath`」欄位。
`host`	`principal.asset.hostname`	直接對應至「`host`」欄位。
`host`	`principal.hostname`	直接對應自「`host`」欄位。從 `ts` 欄位複製，並剖析為時間戳記。由剖析器邏輯根據 `principal_mid_present`、`target_mid_present` 和 `principal_user_present` 的存在與否決定。可能的值：`NETWORK_CONNECTION`、`USER_UNCATEGORIZED`、`STATUS_UPDATE`、`GENERIC_EVENT`。硬式編碼為「Cohesity」。
`product_event_type`	`metadata.product_event_type`	直接對應自「`product_event_type`」欄位。硬式編碼為「COHESITY」。
`pid`	`principal.process.pid`	直接對應至「`pid`」欄位。
`Protocol`	`network.application_protocol`	直接從 `Protocol` 欄位對應，並轉換為大寫。
`RecordID`	`additional.fields` (鍵：「RecordID」，值：`RecordID`)	直接從 `RecordID` 欄位對應，並巢狀內嵌於 `additional.fields` 下方。
`RequestType`	`security_result.detection_fields` (key: "RequestType", value: `RequestType`)	直接從 `RequestType` 欄位對應，並巢狀內嵌於 `security_result.detection_fields` 下方。
`Result`	`security_result.summary`	直接對應至「`Result`」欄位。
`sha_value`	`additional.fields` (鍵：「SHA256」，值：`sha_value`)	直接從 `sha_value` 欄位對應，並巢狀內嵌於 `additional.fields` 下方。
`target_ip`	`target.asset.ip`	直接對應至「`target_ip`」欄位。
`target_ip`	`target.ip`	直接對應至「`target_ip`」欄位。
`target_port`	`target.port`	直接從 `target_port` 欄位對應，並轉換為整數。
`Timestamp`	`metadata.collected_timestamp`	從 `Timestamp` 欄位直接對應，並剖析為時間戳記。
`ts`	`events.timestamp`	從 `ts` 欄位直接對應，並剖析為時間戳記。
`UserID`	`principal.user.userid`	直接從 `UserID` 欄位對應，並轉換為字串。
`UserName`	`principal.user.user_display_name`	直接對應至「`UserName`」欄位。
`UserSID`	`principal.user.windows_sid`	直接對應至「`UserSID`」欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。