Raccogliere i log di accesso alle applicazioni personalizzate

Supportato in:

Questo documento spiega come importare i log di accesso personalizzato alle applicazioni in Google Security Operations utilizzando metodi di importazione di spazio di archiviazione sul cloud o di streaming.

I log di accesso alle applicazioni personalizzate acquisiscono eventi di autenticazione, decisioni di autorizzazione e pattern di accesso da applicazioni proprietarie o create su misura. Questi log sono essenziali per monitorare attività utente, rilevare tentativi di accesso non autorizzati e mantenere la conformità ai criteri di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Log di accesso alle applicazioni personalizzati in formato JSON, CSV o di testo strutturato
  • Accesso a uno dei seguenti elementi:
    • Bucket Google Cloud Storage (per l'importazione GCS)
    • Bucket Amazon S3 (per l'importazione S3)
    • Account di archiviazione di Microsoft Azure (per l'importazione di blob Azure)
    • Funzionalità dell'endpoint webhook (per l'importazione basata sul push)
    • Amazon Kinesis Data Firehose (per l'importazione di flussi di dati)

Creare un tipo di log personalizzato

Il tipo di log CUSTOM_APPLICATION_ACCESS non esiste come parser predefinito in Google SecOps. Devi creare un tipo di log personalizzato prima di importare i log.

  1. Vai a Impostazioni SIEM > Tipi di log disponibili.
  2. Fai clic su Richiedi un tipo di log.
  3. Nella sezione Crea autonomamente un tipo di log personalizzato, inserisci i seguenti dettagli:
    • Fornitore/Prodotto: inserisci Custom Application Access Logs
    • Tipo di log: inserisci CUSTOM_APPLICATION_ACCESS

  4. Fai clic su Crea tipo di log.

  5. Attendi 10 minuti per assicurarti che il nuovo tipo di log sia disponibile in tutti i componenti prima di creare i feed.

Scegliere il metodo di importazione

Seleziona il metodo di importazione più adatto alla tua infrastruttura:

  • Google Cloud Storage (GCS): utilizza questa opzione se la tua applicazione scrive i log nei bucket GCS o se puoi esportare i log in GCS
  • Amazon S3: utilizza questa opzione se la tua applicazione scrive log nei bucket S3 o se puoi esportare i log in S3
  • Azure Blob Storage: utilizza questa opzione se la tua applicazione scrive log in Azure Storage o se puoi esportare i log in Azure
  • Webhook: utilizza questa opzione se la tua applicazione può inviare richieste POST HTTP a un endpoint esterno
  • Amazon Kinesis Data Firehose: utilizza questa opzione se la tua applicazione scrive in CloudWatch Logs o se hai bisogno di streaming in tempo reale

Opzione 1: importa da Google Cloud Storage

Creazione di un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio custom-app-access-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, due regioni, più regioni)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Configura la tua applicazione per scrivere i log in GCS

Configura la tua applicazione personalizzata in modo che scriva i log di accesso nel bucket GCS che hai creato. I log devono essere scritti in uno dei seguenti formati:

  • Formato JSON (consigliato):

    {"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45", "application": "custom-app", "resource": "/api/users"}

  • Formato CSV:

    timestamp,user,action,result,source_ip,application,resource
2025-01-15T10:30:00Z,john.doe@example.com,login,success,203.0.113.45,custom-app,/api/users

  • JSON delimitato da nuova riga (NDJSON):

    {"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success"}
{"timestamp": "2025-01-15T10:30:05Z", "user": "jane.smith@example.com", "action": "access", "result": "denied"}

Recuperare il account di servizio Google SecOps

Google SecOps utilizza un account di servizio univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo account di servizio l'accesso al tuo bucket.

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Custom Application Access Logs - GCS).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.
  7. Fai clic su Ottieni service account.

  8. Verrà visualizzata un'email univoca del account di servizio, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del account di servizio Google SecOps
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage

  6. Fai clic su Salva.

Configura il feed in Google SecOps

  1. Torna alla pagina di creazione del feed (o vai a Impostazioni SIEM > Feed > Aggiungi nuovo feed).
  2. Fai clic su Avanti.

  3. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://custom-app-access-logs/

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni).

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed (ad esempio, custom_app_access).

  4. Fai clic su Avanti.

  5. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Opzione 2: importazione da Amazon S3

Crea un bucket Amazon S3

  1. Apri la console Amazon S3.
  2. Fai clic su Crea bucket.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome bucket: inserisci un nome significativo per il bucket (ad esempio custom-app-access-logs).
    • Regione: seleziona la regione in cui viene eseguita l'applicazione (ad esempio, us-east-1).
  4. Fai clic su Crea.

Crea un utente IAM con accesso a S3

  1. Apri la console IAM.
  2. Fai clic su Utenti > Aggiungi utente.
  3. Inserisci un nome utente (ad esempio, chronicle-s3-reader).
  4. Seleziona Accesso programmatico.
  5. Fai clic su Avanti: autorizzazioni.
  6. Scegli Collega direttamente le policy esistenti.
  7. Cerca e seleziona il criterio AmazonS3FullAccess.
  8. Fai clic su Avanti: tag.
  9. Fai clic su Successivo: esamina.
  10. Fai clic su Crea utente.
  11. Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Chiudi.

Configura l'applicazione per scrivere i log in S3

Configura l'applicazione personalizzata per scrivere i log di accesso nel bucket S3 che hai creato. Utilizza gli stessi formati dei log descritti nella sezione GCS (JSON, CSV o NDJSON).

Configura un feed in Google SecOps per importare i log da S3

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Custom Application Access Logs - S3).
  5. Seleziona Amazon S3 V2 come Tipo di origine.
  6. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.
  7. Fai clic su Avanti e poi su Invia.

  8. Specifica i valori per i seguenti parametri di input:

    • URI S3: inserisci l'URI del bucket nel formato:

      s3://custom-app-access-logs/

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Età massima file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni).

    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed (ad esempio, custom_app_access).

  9. Fai clic su Avanti e poi su Invia.

Opzione 3: importa da Azure Blob Storage

Crea account di archiviazione Azure

  1. Nel portale Azure, cerca Account di archiviazione.
  2. Fai clic su + Crea.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Abbonamento Seleziona il tuo abbonamento Azure
    Gruppo di risorse Seleziona esistente o crea nuovo
    Nome account di archiviazione Inserisci un nome univoco (ad esempio, customappaccesslogs).
    Regione Seleziona la regione (ad esempio, East US)
    Prestazioni Standard (consigliato)
    Ridondanza Archiviazione con ridondanza locale (LRS)

  4. Fai clic su Review + create (Rivedi e crea).

  5. Controlla la panoramica dell'account e fai clic su Crea.

  6. Attendi il completamento del deployment.

Recuperare le credenziali dell'account di archiviazione

  1. Vai all'account di archiviazione che hai appena creato.
  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi di accesso in Sicurezza e networking.
  3. Fai clic su Mostra chiavi.
  4. Copia e salva i seguenti dati per un utilizzo successivo:
    • Nome dell'account di archiviazione: customappaccesslogs
    • Tasto 1 o Tasto 2: la chiave di accesso condivisa

Crea un contenitore di blob

  1. Nello stesso account di archiviazione, seleziona Contenitori nel menu di navigazione a sinistra.
  2. Fai clic su + Contenitore.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci access-logs
    • Livello di accesso pubblico: seleziona Privato (nessun accesso anonimo).
  4. Fai clic su Crea.

Configura l'applicazione per scrivere i log in Azure Blob Storage

Configura la tua applicazione personalizzata per scrivere i log di accesso nel container Azure Blob Storage che hai creato. Utilizza gli stessi formati dei log descritti nella sezione GCS (JSON, CSV o NDJSON).

Configura un feed in Google SecOps per importare i log da Azure

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Custom Application Access Logs - Azure).
  5. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  6. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI di Azure: inserisci l'URL dell'endpoint del servizio BLOB con il percorso del container:

      https://customappaccesslogs.blob.core.windows.net/access-logs/

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Chiave condivisa: inserisci il valore della chiave condivisa (chiave di accesso) acquisita dall'account di archiviazione

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed (ad esempio, custom_app_access)

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Opzione 4: importazione tramite webhook

Crea un feed webhook in Google SecOps

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Custom Application Access Logs - Webhook).
  5. Seleziona Webhook come Tipo di origine.
  6. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Delimitatore di divisione: inserisci \n per dividere gli eventi delimitati da interruzioni di riga (se invii più eventi per richiesta).
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed (ad esempio, custom_app_access).
  9. Fai clic su Avanti.
  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Genera e salva la chiave segreta

  1. Nella pagina dei dettagli del feed, fai clic su Genera chiave segreta.
  2. Una finestra di dialogo mostra la chiave segreta.

  3. Copia e salva la chiave segreta in modo sicuro.

Recuperare l'URL dell'endpoint del feed

  1. Vai alla scheda Dettagli del feed.
  2. Nella sezione Endpoint Information (Informazioni sull'endpoint), copia l'URL dell'endpoint del feed.

  3. Il formato dell'URL è:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. Salva questo URL per i passaggi successivi.

  5. Fai clic su Fine.

Creare una chiave API Google Cloud

Google SecOps richiede una chiave API per l'autenticazione. Crea una chiave API con limitazioni nella Google Cloud Console.

  1. Vai alla pagina Credenziali della console Google Cloud.
  2. Seleziona il tuo progetto (quello associato alla tua istanza di Chronicle).
  3. Fai clic su Crea credenziali > Chiave API.
  4. Viene creata una chiave API e visualizzata in una finestra di dialogo.
  5. Fai clic su Modifica chiave API per limitare la chiave.
  6. Nella pagina delle impostazioni Chiave API:
    • Nome: inserisci un nome descrittivo (ad esempio, Chronicle Webhook API Key).
  7. In Limitazioni API:
    1. Seleziona Limita chiave.
    2. Nel menu a discesa Seleziona API, cerca e seleziona API Google SecOps (o API Chronicle).
  8. Fai clic su Salva.
  9. Copia il valore della chiave API dal campo Chiave API nella parte superiore della pagina.
  10. Salva la chiave API in modo sicuro.

Configurare l'applicazione per inviare i log tramite webhook

Configura la tua applicazione personalizzata per inviare richieste POST HTTP all'endpoint webhook di Chronicle.

  • Crea l'URL webhook:

    1. Aggiungi la chiave API all'URL dell'endpoint del feed:

      https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY>

    2. Sostituisci <API_KEY> con la chiave API che hai creato.

  • Formato della richiesta HTTP POST:

    POST https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY> HTTP/1.1
Content-Type: application/json
x-chronicle-auth: <SECRET_KEY>

{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45"}

  • Per più eventi (delimitati da un carattere di nuova riga):

    POST https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY> HTTP/1.1
Content-Type: application/json
x-chronicle-auth: <SECRET_KEY>

{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success"}
{"timestamp": "2025-01-15T10:30:05Z", "user": "jane.smith@example.com", "action": "access", "result": "denied"}

  • Esempio di utilizzo di curl:

    curl -X POST \
  "https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -H "x-chronicle-auth: YOUR_SECRET_KEY" \
  -d '{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45"}'

Opzione 5: inserisci utilizzando Amazon Kinesis Data Firehose

Creare un feed in Google SecOps

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Custom Application Access Logs - Firehose).
  5. Seleziona Amazon Data Firehose come Tipo di origine.
  6. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Delimitatore di suddivisione: inserisci \n per suddividere i log delimitati da nuove righe.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed (ad esempio, custom_app_access).
  9. Fai clic su Avanti.
  10. Rivedi la configurazione del feed e fai clic su Invia.
  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  12. Copia e salva la chiave segreta perché non potrai più visualizzarla.
  13. Vai alla scheda Dettagli.
  14. Copia l'URL dell'endpoint del feed dal campo Endpoint Information (Informazioni sull'endpoint).
  15. Fai clic su Fine.

Crea una chiave API per il feed Amazon Data Firehose

  1. Vai alla pagina Credenziali della console Google Cloud all'indirizzo https://console.cloud.google.com/apis/credentials
  2. Fai clic su Crea credenziali e poi seleziona Chiave API.
  3. Fai clic su Modifica chiave API per limitare la chiave.
  4. In Restrizioni delle API, seleziona Limita chiave.
  5. Cerca e seleziona API Google SecOps.
  6. Fai clic su Salva.
  7. Copia e salva la chiave API.

Costruisci l'URL dell'endpoint

  1. Aggiungi la chiave API all'URL dell'endpoint del feed nel seguente formato:

    <FEED_ENDPOINT_URL>?key=<API_KEY>

  2. Sostituisci quanto segue:

    • <FEED_ENDPOINT_URL>: L'URL dell'endpoint del feed in un passaggio precedente
    • <API_KEY>: la chiave API in un passaggio precedente

    Esempio:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...

  3. Salva questo URL completo per il passaggio successivo.

Crea criterio IAM per Firehose

  1. Nella console AWS, vai alla scheda IAM > Policy > Crea policy > JSON.

  2. Incolla il seguente JSON dei criteri:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:us-east-1:123456789012:deliverystream/CustomAppAccessToChronicle"
        }
    ]
}

  3. Sostituisci quanto segue:

    • us-east-1: la tua regione AWS
    • 123456789012: Il tuo ID account AWS (numero di 12 cifre)
    • CustomAppAccessToChronicle: Il nome del flusso di distribuzione Firehose (lo creerai nel passaggio successivo)

  4. Assegna al criterio il nome CustomAppAccessFirehoseWritePolicy.

  5. Fai clic su Crea policy.

Crea un ruolo IAM per CloudWatch Logs

  1. Vai a IAM > Ruoli > Crea ruolo.

  2. Seleziona Norme di attendibilità personalizzate e incolla:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Sostituisci us-east-1 con la tua regione AWS.

  4. Fai clic su Avanti.

  5. Cerca e seleziona la norma CustomAppAccessFirehoseWritePolicy che hai creato nel passaggio precedente.

  6. Fai clic su Avanti.

  7. Assegna un nome al ruolo CloudWatchLogsToFirehoseRole.

  8. Fai clic su Crea ruolo.

Crea stream di distribuzione Kinesis Data Firehose

  1. Nella console AWS, vai a Kinesis > Data Firehose > Crea stream di distribuzione.

  2. Fornisci i seguenti dettagli di configurazione:

    • Origine e destinazione:

      • Origine: seleziona PUT diretto o altre origini
      • Destinazione: seleziona Endpoint HTTP.

    • Nome dello stream di pubblicazione:

      • Nome dello stream di distribuzione: inserisci CustomAppAccessToChronicle

    • Destinazione endpoint HTTP:

      • URL endpoint HTTP: inserisci l'URL endpoint completo che hai creato in precedenza (endpoint feed + chiave API)
      • Codifica dei contenuti: seleziona GZIP (consigliato per risparmiare larghezza di banda)

    • Intestazioni HTTP personalizzate:

      • Fai clic su Aggiungi intestazione HTTP personalizzata.
      • Nome intestazione: inserisci X-Goog-Chronicle-Auth
      • Valore dell'intestazione: inserisci la chiave segreta che hai salvato in un passaggio precedente.

    • Impostazioni di backup:

      • Backup del record di origine in Amazon S3: seleziona Solo dati non riusciti (opzione consigliata).
      • Bucket S3: seleziona un bucket esistente o creane uno nuovo per i record non riusciti

    • Suggerimenti per il buffer:

      • Dimensioni buffer: inserisci 1 MiB (minimo per gli endpoint HTTP)
      • Intervallo di buffer: inserisci 60 secondi

    • Durata del nuovo tentativo:

      • Durata del tentativo: inserisci 300 secondi (5 minuti)

  3. Fai clic su Crea stream di pubblicazione.

  4. Attendi che lo stato dello stream di distribuzione cambi in Attivo (1-2 minuti).

Configura l'applicazione per scrivere in CloudWatch Logs

Configura la tua applicazione personalizzata per scrivere i log di accesso in un gruppo di log CloudWatch. Quindi, crea un filtro di sottoscrizione per trasmettere i log a Firehose.

  1. Nella console AWS, vai a CloudWatch > Log > Gruppi di log.
  2. Crea un nuovo gruppo di log o selezionane uno esistente in cui la tua applicazione scrive i log.
  3. Fai clic sulla scheda Filtri abbonamenti.
  4. Fai clic su Crea > Crea filtro di abbonamento Amazon Kinesis Data Firehose.

  5. Fornisci i seguenti dettagli di configurazione:

    • Destinazione: seleziona lo stream di distribuzione CustomAppAccessToChronicle.
    • Concedi autorizzazione: seleziona il ruolo CloudWatchLogsToFirehoseRole.
    • Nome filtro sottoscrizioni: inserisci CustomAppAccessToChronicle.
    • Formato log: seleziona Altro (Google SecOps gestisce l'analisi).
    • Pattern di filtro delle iscrizioni: lascia vuoto per inviare tutti gli eventi.

  6. Fai clic su Avvia streaming.

  7. I log vengono trasmessi in streaming in tempo reale a Google SecOps tramite Firehose.

Crea un parser personalizzato

Dopo l'importazione dei log, devi creare un parser personalizzato per normalizzare i dati in formato UDM.

  1. Vai a Impostazioni SIEM > Parser.
  2. Fai clic su Crea parser.
  3. Seleziona CUSTOM_APPLICATION_ACCESS_CUSTOM come Tipo di log.

  4. Utilizza l'editor del parser per creare pattern Grok o estensioni del parser che mappano i campi dei log ai campi UDM.

    Esempio di mappatura del parser:

    Campo log personalizzato Campo UDM
    timestamp metadata.event_timestamp
    user principal.user.email_addresses
    action security_result.action
    result security_result.summary
    source_ip principal.ip
    application target.application
    resource target.resource.name

  5. Testa il parser con log di esempio.

  6. Fai clic su Salva per attivare il parser.

Per istruzioni dettagliate sulla creazione di parser, vedi Opzioni di analisi self-service.

Verifica l'importazione

Dopo aver configurato il feed e il parser, verifica che i log vengano importati:

  1. Vai a Ricerca > Ricerca UDM.

  2. Esegui questa query:

    metadata.log_type = "CUSTOM_APPLICATION_ACCESS_CUSTOM"

  3. Verifica che gli eventi vengano visualizzati nei risultati di ricerca.

  4. Verifica che i campi UDM siano compilati correttamente in base alla configurazione del parser.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
aggiuntivo Unito alle etichette create da service, env, msg.attachment.fileName, msg.attachment.digest, msg.attachment.key, msg.attachment.authorizeId, msg.attachment.contentType, dest.type, type, msg.sortID, msg.refID, state.reported.applications_installed, state.reported.applications_status, state.reported.ota_queue, state.reported.VICMB_Deg_Battery_LimpHome, state.reported.VICMB_Inhibit_Propulsion, state.reported.VICMB_FA_LostComm_BPCM, state.reported.VICMB_FA_LostComm_SFAM1, state.reported.VICMB_Inhibit_HV, state.reported.VICMB_FA_LostComm_RIDM, state.reported.VICMB_FA_LostComm_RWAM1, state.reported.uname, meta.reported.battery_charging_rate_kw.timestamp, state.reported.battery_charging_rate_kw, meta.reported.cell.connected.timestamp, meta.reported.cell.packet_loss.timestamp, meta.reported.cell.average_ping_ms.timestamp, meta.reported.cell.bitrate.timestamp, meta.reported.cell.download_speed_bytes_per_sec.timestamp, meta.reported.cell.signal_strength.timestamp, meta.reported.cell.signal.timestamp, state.reported.cell.connected, state.reported.cell.packet_loss, state.reported.cell.average_ping_ms, state.reported.cell.bitrate, state.reported.cell.download_speed_bytes_per_sec, state.reported.cell.signal_strength, state.reported.cell.signal
request_time metadata.collected_timestamp Analizzato da request_time utilizzando il formato ISO8601
msg_1, msg.body metadata.description Valore di msg_1 se non è vuoto, altrimenti msg.body
user_id, src_email, otadata.1687965118.initiator metadata.event_type Impostato su "USER_UNCATEGORIZED" se sono presenti user_id, src_email, otadata.1687965118.initiator, altrimenti "GENERIC_EVENT"
otadata.1687965118.deployment_id metadata.product_deployment_id Valore copiato direttamente
versione metadata.product_version Valore copiato direttamente
response.status network.http.response_code Convertito in numero intero
request_id principal.resource.product_object_id Valore copiato direttamente
msg.attachment.url, otadata.1687965118.download_url principal.url Valore di msg.attachment.url se non è vuoto, altrimenti otadata.1687965118.download_url
src_email, otadata.1687965118.initiator principal.user.email_addresses Valore di src_email se corrisponde all'espressione regolare dell'email, altrimenti di otadata.1687965118.initiator
user_id principal.user.userid Valore copiato direttamente
livello security_result.severity Imposta su "INFORMATIONAL" se il livello è "INFO"
metadata.product_name Imposta su "Accesso personalizzato alle applicazioni"
metadata.vendor_name Imposta su "Accesso personalizzato alle applicazioni"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.