Mengumpulkan log SWG Dope Security

Didukung di:

Dokumen ini menjelaskan cara menyerap log SWG Dope Security ke Google Security Operations menggunakan Amazon S3.

Dope Security dope.swg adalah gateway web aman berbasis endpoint yang menyediakan pemfilteran web real-time, perlindungan malware, dan kontrol aplikasi cloud. Setiap dope.endpoint mengirimkan log transaksi web ke dope.cloud setiap 15 menit, yang kemudian otomatis diekspor ke bucket AWS S3 Anda dalam format JSONL GZIP terkompresi untuk integrasi SIEM.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Dope Security dope.console
  • Akses istimewa ke AWS (S3, IAM)
  • Tenant Dope Security Anda harus berada di region AWS yang sama dengan bucket S3 Anda (verifikasi region di halaman Settings > SIEM)

Mengonfigurasi integrasi SIEM Dope Security

Untuk mengonfigurasi integrasi SIEM Dope Security, lakukan hal berikut:

  1. Login ke dope.console di https://console.dope.security
  2. Buka Setelan > SIEM > Setelan Integrasi SIEM.
  3. Di daftar SIEM Type, pilih AWS S3.

  4. Perhatikan Wilayah AWS yang ditampilkan di sisi kanan halaman (misalnya, US-EAST-2).

  5. Biarkan halaman ini terbuka karena Anda akan kembali untuk menyelesaikan konfigurasi setelah menyiapkan AWS S3.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3. Untuk mengetahui informasi selengkapnya, lihat Membuat bucket.
  2. Saat membuat bucket, pastikan Region cocok dengan region yang ditampilkan di halaman Integrasi SIEM Dope Security (misalnya, US East (Ohio) us-east-2).

  3. Simpan Name bucket untuk referensi di masa mendatang (misalnya, chronicle-dope-swg-logs).

  4. Buat Pengguna. Untuk mengetahui informasi selengkapnya, lihat Membuat pengguna IAM.

  5. Pilih Pengguna yang telah Anda buat.

  6. Pilih tab Kredensial keamanan.

  7. Klik Create Access Key di bagian Access Keys.

  8. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.

  9. Klik Berikutnya.

  10. Opsional: Tambahkan tag deskripsi.

  11. Klik Create access key.

  12. Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.

  13. Klik Done.

  14. Pilih tab Permissions.

  15. Klik Tambahkan izin di bagian Kebijakan izin.

  16. Pilih Tambahkan izin.

  17. Pilih Lampirkan kebijakan secara langsung.

  18. Cari kebijakan AmazonS3FullAccess.

  19. Pilih kebijakan.

  20. Klik Berikutnya.

  21. Klik Add permissions.

Mengonfigurasi koneksi Amazon S3 Dope Security

  1. Kembali ke dope.console di halaman Settings > SIEM > SIEM Integration Settings.
  2. Di kolom S3 Bucket Name, masukkan nama bucket S3 Anda (misalnya, chronicle-dope-swg-logs).
  3. Di panel sebelah kanan, Anda akan melihat bagian Bucket Policy dengan kebijakan JSON yang telah dibuat sebelumnya.
  4. Klik Salin di samping JSON kebijakan untuk menyalinnya ke papan klip.
  5. Di tab browser baru, buka AWS S3 Console.
  6. Pilih bucket S3 Anda (misalnya, chronicle-dope-swg-logs).
  7. Buka tab Izin.
  8. Scroll ke bawah ke bagian Bucket policy.
  9. Klik Edit.
  10. Tempelkan JSON kebijakan yang Anda salin dari dope.console ke area teks Kebijakan.
  11. Klik Simpan perubahan.
  12. Kembali ke tab browser dope.console.
  13. Klik Sync di bagian bawah halaman Setelan Integrasi SIEM.
  14. Tunggu hingga sinkronisasi selesai.
  15. Pastikan tanda centang hijau muncul di samping kolom Nama Bucket S3.

  16. Pastikan stempel waktu Sinkronisasi Terakhir muncul di sudut kanan atas halaman.

Mengonfigurasi feed di Google SecOps untuk menyerap log SWG Dope Security

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Masukkan nama unik untuk Nama feed (misalnya, Dope Security SWG Logs).
  5. Pilih Amazon S3 V2 sebagai Jenis sumber.
  6. Pilih DOPE_SWG sebagai Log type.
  7. Klik Berikutnya, lalu klik Kirim.

  8. Tentukan nilai untuk kolom berikut:

    • URI S3: s3://chronicle-dope-swg-logs/ (ganti dengan nama bucket Anda)
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda
    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3 (dari langkah 12 konfigurasi AWS)
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3 (dari langkah 12 konfigurasi AWS)
    • Namespace aset: Namespace aset
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini

  9. Klik Berikutnya, lalu klik Kirim.

Referensi format data log

Dope Security mengekspor log dalam format JSONL (JSON Lines) dengan kompresi GZIP. Setiap entri log berisi kolom kunci berikut:

Kolom Deskripsi
Stempel waktu Stempel waktu ISO 8601 saat transaksi web diminta
Durasi Durasi koneksi dalam milidetik
Tujuan yang Cocok Domain yang dicocokkan dengan kategori pelanggaran
IP Tujuan Alamat IP tujuan untuk URL yang diminta
ID Tenant ID tenant unik dope.cloud pelanggan
ID Agen ID agen unik untuk dope.endpoint
User Pengguna yang login di dope.endpoint
Pengguna OIDC Alamat email untuk pengguna yang diautentikasi (jika autentikasi OIDC diaktifkan)
Kategori Nomor kategori berat yang cocok (0-88) untuk URL yang diminta
Putusan: Keputusan kebijakan: Izinkan (0), Blokir (1), Peringatan (2), atau Lewati (3)
Data Dikirim Jumlah data yang dikirim dalam koneksi (byte)
Data yang Diterima Jumlah data yang diterima dalam koneksi (byte)
Jenis Kebijakan Jenis kebijakan yang diterapkan: Web, Cloud Application Control (CAC), Kategori Kustom, Lewati, atau Malware
Detail Pemblokiran Untuk hasil pemblokiran: kategori narkoba, kategori kustom, aplikasi cloud, atau jenis malware
Nama file Nama file yang didownload
Hash File Hash file untuk file yang didownload
Nama Proses Nama proses yang membuat permintaan URL
URL URL yang diminta lengkap
Nama Kebijakan Nama kebijakan yang diterapkan
Protokol Protokol yang digunakan (misalnya, HTTP/2, HTTP/1.1)
Hostname Nama host perangkat
Metode Permintaan HTTP Metode permintaan HTTP (misalnya, GET, POST, PUT)
Hierarki Panggilan Proses Hubungan induk-turunan dari operasi pembuatan proses dengan argumen perintah

Untuk pemetaan kategori dan putusan lengkap, lihat dokumentasi Pemetaan Kategori & Putusan Dope Security.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
policy.categories, request.processTree additional.fields Digabungkan sebagai daftar dari policy.categories dan request.processTree dalam JSON
timestamp metadata.event_timestamp Diuraikan sebagai stempel waktu ISO8601 dalam JSON dan CSV
metadata.event_type Ditetapkan ke NETWORK_HTTP jika has_principal, has_target, has_http dalam JSON; atau NETWORK_CONNECTION jika has_principal dan has_target; atau USER_UNCATEGORIZED jika has_user; atau STATUS_UPDATE jika has_principal; atau GENERIC_EVENT; ditetapkan ke NETWORK_HTTP dalam CSV
schemaVersion metadata.product_version Nilai disalin langsung dari schemaVersion di JSON
request.httpVersion network.http.user_agent Nilai disalin langsung dari request.httpVersion dalam JSON
bandwidth.dataReceivedInBytes, bytes_received network.received_bytes Dikonversi menjadi uinteger dari bandwidth.dataReceivedInBytes di JSON atau bytes_received di CSV jika tidak kosong dan bukan 0
bandwidth.dataSentInBytes, bytes_sent network.sent_bytes Dikonversi menjadi uinteger dari bandwidth.dataSentInBytes dalam JSON atau bytes_sent dalam CSV jika tidak kosong dan bukan 0
request.duration network.session_duration.seconds Dikonversi menjadi bilangan bulat dari request.duration di JSON
endpoint.agentID, endpoint_id principal.asset.asset_id Diawali dengan DS: dari endpoint.agentID di JSON atau endpoint_id di CSV
endpoint.tenantID principal.asset.attribute.cloud.project.id Nilai disalin langsung dari endpoint.tenantID di JSON
endpoint.deviceName principal.asset.hostname Nilai disalin langsung dari endpoint.deviceName di JSON
endpoint.deviceName, endpoint_hostname principal.hostname Nilai dari endpoint.deviceName dalam JSON atau endpoint_hostname dalam CSV
request.processName principal.process.command_line Nilai disalin langsung dari request.processName di JSON
process_name principal.process.file.names Nilai disalin langsung dari process_name di CSV
sso_user, user principal.user.account_type Disetel ke DOMAIN_ACCOUNT_TYPE jika sso_user tidak kosong, atau LOCAL_ACCOUNT_TYPE di CSV
endpoint.oidcUser principal.user.email_addresses Digabungkan jika endpoint.oidcUser cocok dengan regex email di JSON
endpoint.oidcUser principal.user.user_display_name Nilai disalin secara langsung jika endpoint.oidcUser tidak cocok dengan regex email di JSON
endpoint.user, sso_user, user principal.user.userid Nilai dari endpoint.user dalam JSON; dari sso_user jika tidak kosong, atau user dalam CSV
security_result security_result Digabungkan dari security_result dalam JSON
policy.verdict, verdict security_result.action Disetel ke BLOCK jika 1, ALLOW jika 0, CHALLENGE jika 2 dari policy.verdict di JSON atau verdict di CSV
kategori security_result.action_details Nilai disalin langsung dari kategori dalam CSV
policy.policyName security_result.rule_name Nilai disalin langsung dari policy.policyName di JSON
policy.policyType security_result.rule_type Nilai disalin langsung dari policy.policyType di JSON
file_name target.file.names Nilai disalin langsung dari file_name dalam CSV
file_hash target.file.sha256 Nilai disalin langsung dari file_hash di CSV
destination.matchedDestination, domain target.hostname Nilai dari destination.matchedDestination jika bukan IP dalam JSON; dari domain dalam CSV
destination.matchedDestination, destination.destinationIP, ip target.ip Nilai dari destination.matchedDestination atau destination.destinationIP jika IP dalam JSON; dari ip dalam CSV
destination.url, url target.url Nilai dari destination.url dalam JSON; dari url dalam CSV
metadata.product_name Tetapkan ke "DOPE_SWG" di JSON; "SWG" di CSV
metadata.vendor_name Ditetapkan ke "DOPE_SWG" di JSON; "Dope Security" di CSV

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.