Raccogliere i log SWG di Dope Security

Supportato in:

Questo documento spiega come importare i log SWG di Dope Security in Google Security Operations utilizzando Amazon S3.

Dope Security dope.swg è un gateway web sicuro basato su endpoint che fornisce filtraggio web in tempo reale, protezione da malware e controllo delle applicazioni cloud. Ogni dope.endpoint invia i log delle transazioni web a dope.cloud ogni 15 minuti, che vengono poi esportati automaticamente nel tuo bucket AWS S3 in formato JSONL GZIP compresso per l'integrazione SIEM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso privilegiato a Dope Security dope.console
  • Accesso privilegiato ad AWS (S3, IAM)
  • Il tenant Dope Security deve trovarsi nella stessa regione AWS del bucket S3 (verifica la regione nella pagina Impostazioni > SIEM)

Configura l'integrazione SIEM di Dope Security

Per configurare l'integrazione di Dope Security SIEM:

  1. Accedi a dope.console all'indirizzo https://console.dope.security
  2. Vai a Impostazioni > SIEM > Impostazioni di integrazione SIEM.
  3. Nell'elenco Tipo di SIEM, seleziona AWS S3.

  4. Prendi nota della regione AWS visualizzata sul lato destro della pagina (ad esempio, US-EAST-2).

  5. Lascia aperta questa pagina perché tornerai a completare la configurazione dopo aver configurato AWS S3.

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3. Per saperne di più, consulta Creazione di un bucket.
  2. Quando crei il bucket, assicurati che la regione corrisponda a quella mostrata nella pagina di integrazione SIEM di Dope Security (ad esempio, US East (Ohio) us-east-2).

  3. Salva il nome del bucket per riferimento futuro (ad esempio, chronicle-dope-swg-logs).

  4. Crea un utente. Per maggiori informazioni, vedi Creare un utente IAM.

  5. Seleziona l'utente che hai creato.

  6. Seleziona la scheda Credenziali di sicurezza.

  7. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.

  8. Seleziona Servizio di terze parti come Caso d'uso.

  9. Fai clic su Avanti.

  10. (Facoltativo) Aggiungi un tag di descrizione.

  11. Fai clic su Crea chiave di accesso.

  12. Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.

  13. Fai clic su Fine.

  14. Seleziona la scheda Autorizzazioni.

  15. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.

  16. Seleziona Aggiungi autorizzazioni.

  17. Seleziona Allega direttamente i criteri.

  18. Cerca il criterio AmazonS3FullAccess.

  19. Seleziona la policy.

  20. Fai clic su Avanti.

  21. Fai clic su Aggiungi autorizzazioni.

Configura la connessione Dope Security Amazon S3

  1. Torna a dope.console nella pagina Impostazioni > SIEM > Impostazioni di integrazione SIEM.
  2. Nel campo S3 Bucket Name (Nome bucket S3), inserisci il nome del tuo bucket S3 (ad esempio chronicle-dope-swg-logs).
  3. Nel riquadro a destra, vedrai una sezione Bucket Policy con un criterio JSON pregenerato.
  4. Fai clic su Copia accanto al JSON delle norme per copiarlo negli appunti.
  5. In una nuova scheda del browser, vai alla console AWS S3.
  6. Seleziona il bucket S3 (ad esempio, chronicle-dope-swg-logs).
  7. Vai alla scheda Autorizzazioni.
  8. Scorri verso il basso fino alla sezione Bucket policy.
  9. Fai clic su Modifica.
  10. Incolla il JSON dei criteri che hai copiato da dope.console nell'area di testo Criteri.
  11. Fai clic su Salva modifiche.
  12. Torna alla scheda del browser dope.console.
  13. Fai clic su Sincronizza nella parte inferiore della pagina Impostazioni di integrazione SIEM.
  14. Attendi il completamento della sincronizzazione.
  15. Verifica che accanto al campo Nome bucket S3 sia visualizzato un segno di spunta verde.

  16. Verifica che il timestamp Ultima sincronizzazione venga visualizzato nell'angolo in alto a destra della pagina.

Configura un feed in Google SecOps per importare i log SWG di Dope Security

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Inserisci un nome univoco per il Nome feed (ad esempio, Dope Security SWG Logs).
  5. Seleziona Amazon S3 V2 come Tipo di origine.
  6. Seleziona DOPE_SWG come Tipo di log.
  7. Fai clic su Avanti e poi su Invia.

  8. Specifica i valori per i seguenti campi:

    • URI S3: s3://chronicle-dope-swg-logs/ (sostituisci con il nome del bucket)
    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3 (dal passaggio 12 della configurazione di AWS)
    • Chiave di accesso segreta: chiave segreta utente con accesso al bucket S3 (dal passaggio 12 della configurazione AWS)
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

  9. Fai clic su Avanti e poi su Invia.

Riferimento per il formato dei dati di log

Dope Security esporta i log in formato JSONL (JSON Lines) con compressione GZIP. Ogni voce di log contiene i seguenti campi chiave:

Campo Descrizione
Timestamp Timestamp ISO 8601 di quando è stata richiesta la transazione web
Durata Durata della connessione in millisecondi
Destinazione corrispondente Dominio rispetto al quale è stata abbinata la categoria di stupefacenti
IP di destinazione Indirizzo IP di destinazione per l'URL richiesto
ID tenant ID tenant univoco dope.cloud del cliente
ID agente ID agente univoco per dope.endpoint
Utente Utente che ha eseguito l'accesso su dope.endpoint
Utente OIDC Indirizzo email dell'utente autenticato (quando è attivata l'autenticazione OIDC)
Categorie Numeri delle categorie di stupefacenti corrispondenti (0-88) per l'URL richiesto
Esito Verdetto del criterio: Consenti (0), Blocca (1), Avviso (2) o Ignora (3)
Dati inviati Quantità di dati inviati nella connessione (byte)
Dati ricevuti Quantità di dati ricevuti nella connessione (byte)
Tipo di policy Tipo di criterio applicato: web, controllo delle applicazioni cloud (CAC), categoria personalizzata, bypass o malware
Dettagli del blocco Per i verdetti di blocco: categoria di stupefacenti, categoria personalizzata, applicazione cloud o tipo di malware
Nome file Nome di qualsiasi file scaricato
Hash file Hash file per i file scaricati
Nome processo Nome del processo che effettua la richiesta URL
URL URL richiesto completo
Nome della norma Nome della policy applicata
Protocollo Protocollo utilizzato (ad esempio, HTTP/2, HTTP/1.1)
Nome host Nome host del dispositivo
Metodo di richiesta HTTP Metodo di richiesta HTTP (ad esempio GET, POST, PUT)
Elabora albero delle chiamate Relazioni padre-figlio dalle operazioni di generazione dei processi con argomenti di comando

Per le mappature complete di categorie e verdetti, consulta la documentazione Mappature di categorie e verdetti di Dope Security.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
policy.categories, request.processTree additional.fields Uniti come elenco da policy.categories e request.processTree in JSON
timestamp metadata.event_timestamp Analizzato come timestamp ISO8601 in JSON e CSV
metadata.event_type Imposta su NETWORK_HTTP se has_principal, has_target, has_http in JSON; altrimenti NETWORK_CONNECTION se has_principal e has_target; altrimenti USER_UNCATEGORIZED se has_user; altrimenti STATUS_UPDATE se has_principal; altrimenti GENERIC_EVENT; imposta su NETWORK_HTTP in CSV
schemaVersion metadata.product_version Valore copiato direttamente da schemaVersion in JSON
request.httpVersion network.http.user_agent Valore copiato direttamente da request.httpVersion in JSON
bandwidth.dataReceivedInBytes, bytes_received network.received_bytes Convertito in uinteger da bandwidth.dataReceivedInBytes in JSON o bytes_received in CSV se non è vuoto e non è 0
bandwidth.dataSentInBytes, bytes_sent network.sent_bytes Convertito in uinteger da bandwidth.dataSentInBytes in JSON o bytes_sent in CSV se non è vuoto e non è 0
request.duration network.session_duration.seconds Convertito in numero intero da request.duration in JSON
endpoint.agentID, endpoint_id principal.asset.asset_id Con prefisso DS: da endpoint.agentID in JSON o endpoint_id in CSV
endpoint.tenantID principal.asset.attribute.cloud.project.id Valore copiato direttamente da endpoint.tenantID in JSON
endpoint.deviceName principal.asset.hostname Valore copiato direttamente da endpoint.deviceName in JSON
endpoint.deviceName, endpoint_hostname principal.hostname Valore di endpoint.deviceName in JSON o endpoint_hostname in CSV
request.processName principal.process.command_line Valore copiato direttamente da request.processName in JSON
process_name principal.process.file.names Valore copiato direttamente da process_name nel file CSV
sso_user, user principal.user.account_type Imposta DOMAIN_ACCOUNT_TYPE se sso_user non è vuoto, altrimenti LOCAL_ACCOUNT_TYPE nel file CSV
endpoint.oidcUser principal.user.email_addresses Unito se endpoint.oidcUser corrisponde all'espressione regolare dell'email in JSON
endpoint.oidcUser principal.user.user_display_name Valore copiato direttamente se endpoint.oidcUser non corrisponde all'espressione regolare dell'email in JSON
endpoint.user, sso_user, user principal.user.userid Valore di endpoint.user in JSON; di sso_user se non è vuoto, altrimenti di user in CSV
security_result security_result Unito da security_result in JSON
policy.verdict, verdict security_result.action Imposta su BLOCK se 1, ALLOW se 0, CHALLENGE se 2 da policy.verdict in JSON o verdict in CSV
categorie security_result.action_details Valore copiato direttamente dalle categorie nel file CSV
policy.policyName security_result.rule_name Valore copiato direttamente da policy.policyName in JSON
policy.policyType security_result.rule_type Valore copiato direttamente da policy.policyType in JSON
file_name target.file.names Valore copiato direttamente da file_name in CSV
file_hash target.file.sha256 Valore copiato direttamente da file_hash nel file CSV
destination.matchedDestination, domain target.hostname Valore di destination.matchedDestination se non è un IP in JSON; da dominio in CSV
destination.matchedDestination, destination.destinationIP, ip target.ip Valore da destination.matchedDestination o destination.destinationIP se l'IP è in formato JSON; da ip in formato CSV
destination.url, url target.url Valore di destination.url in JSON; di url in CSV
metadata.product_name Imposta su "DOPE_SWG" in JSON; "SWG" in CSV
metadata.vendor_name Imposta "DOPE_SWG" in JSON; "Dope Security" in CSV

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.