Recoger registros de Lacework Cloud Security

Disponible en:

Información general

Este analizador extrae campos de los registros JSON de Lacework Cloud Security y los transforma en formato UDM. Asigna campos de registro sin procesar a campos de UDM, gestiona varios tipos de datos y enriquece el evento con contexto adicional de las etiquetas. Por último, clasifica el tipo de evento en función de la presencia de información principal y de destino.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google Security Operations.
  • Acceso privilegiado a FortiCNAPP Lacework.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Lacework).
  5. Selecciona Webhook como Tipo de fuente.
  6. Seleccione Lacework como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica los valores de los siguientes parámetros de entrada:
    • Delimitador de división: el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  12. Copia y guarda la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta, pero esta acción hará que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del endpoint del feed del campo Información del endpoint. Debe especificar esta URL de endpoint en su aplicación cliente.
  14. Haz clic en Listo.

Crear una clave de API para la feed de webhook

  1. Ve a la consolaGoogle Cloud > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API Chronicle.

Especificar la URL del endpoint

  1. En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Haz los cambios siguientes:

    • ENDPOINT_URL: URL del endpoint del feed.
    • API_KEY: la clave de API para autenticarte en Google SecOps.
    • SECRET: la clave secreta que has generado para autenticar el feed.

Configurar un webhook de Lacework para Google SecOps

  1. Inicia sesión en la consola de Lacework FortiCNAPP con privilegios de administrador.
  2. Ve a Ajustes > Notificaciones > Canales de alerta.
  3. Haga clic en + Añadir.
  4. Selecciona Webhook.
  5. Haz clic en Siguiente.
  6. Especifica un nombre único para el canal (por ejemplo, Google SecOps).
  7. URL del webhook: introduce <ENDPOINT_URL> seguido de <API_KEY> y <SECRET>.
  8. Haz clic en Guardar.
  9. Selecciona Reglas de alerta y configura los detalles de la ruta de alerta que necesites.

Registros de ejemplo de Lacework Cloud Security admitidos

  • Información del agente o del equipo (inventario de hosts)

    {
  "AGENT_VERSION": "6.7.6-4ce73a7b",
  "CREATED_TIME": "Thu, 03 Nov 2022 02:09:36 -0700",
  "HOSTNAME": "host-agent-1",
  "IP_ADDR": "10.0.0.1",
  "LAST_UPDATE": "Wed, 18 Oct 2023 17:59:09 -0700",
  "MID": 6516601498285932156,
  "MODE": "ebpf",
  "OS": "Linux",
  "STATUS": "ACTIVE",
  "TAGS": {
    "Account": "999999999999",
    "AmiId": "ami-00000000000000000",
    "ExternalIp": "203.0.113.10",
    "Hostname": "internal-host-1.zone.compute.internal",
    "InstanceId": "i-00000000000000000",
    "InternalIp": "172.16.1.10",
    "LwTokenShort": "DUMMYTOKENABCD123456",
    "Name": "proxy-DMZ-app-1",
    "ResourceType": "proxy-machines",
    "SubnetId": "subnet-00000000000000000",
    "VmInstanceType": "t3.small",
    "VmProvider": "AWS",
    "VpcId": "vpc-00000000000000000",
    "Zone": "us-west-2a",
    "arch": "amd64",
    "falconx.io/application": "proxy-machines",
    "falconx.io/environment": "prod",
    "falconx.io/project": "edge",
    "falconx.io/team": "edge",
    "os": "linux"
  }
}

  • Metadatos o integridad de los archivos

    {
"CREATED_TIME": "Wed, 18 Oct 2023 17:02:01 -0700",
"FILEDATA_HASH": "DUMMYHASH582C741AD91CA817B4718DEAA4E8A83C0B9D92E2",
"FILE_PATH": "/usr/local/bin/secure_config",
"MID": 7371220731851617371,
"MTIME": "Fri, 25 Aug 2023 13:03:09 -0700",
"SIZE": 8078
}

  • Evaluación de vulnerabilidades de hosts

    {
"CVE_PROPS": {
  "description": "DOCUMENTATION: The MITRE CVE dictionary describes this issue as: "
                 "This CVE ID has been rejected or withdrawn by its CVE Numbering "
                 "Authority for the following reason: This CVE ID has been rejected "
                 "or withdrawn by its CVE Numbering Authority.",
  "link": "https://vendor.example.com/security/cve/CVE-2021-47472",
  "metadata": null
},
"CVE_RISK_INFO": {
  "HOST_COUNT": 1249,
  "IMAGE_COUNT": 0,
  "PKG_COUNT": 0,
  "SEVERITY_LEVEL": 2,
  "score": 0.5154245281584533
},
"CVE_RISK_SCORE": 3.77,
"END_TIME": "2024-09-04 07:00:00.000",
"EVAL_CTX": {
  "collector_type": "Agent",
  "exception_props": [],
  "hostname": "vuln-host-1.example.net"
},
"EVAL_GUID": "3dc61df780e3b722aa59b0ffcac85683",
"FEATURE_KEY": {
  "name": "kernel-headers",
  "namespace": "centos:7",
  "package_active": 1,
  "package_path": "",
  "version_installed": "0:3.10.0-1160.119.1.el7.tuxcare.els2"
},
"MACHINE_TAGS": {
  "Account": "999999999999",
  "AmiId": "ami-00000000000000000",
  "ExternalIp": "203.0.113.10",
  "Hostname": "ip-172-16-1-10.example-prod.aws.featurespace.net",
  "InternalIp": "10.0.0.1",
  "LwTokenShort": "DUMMYTOKENABCD123456",
  "VmProvider": "AWS",
  "VpcId": "vpc-00000000000000000",
  "os": "linux"
},
"MID": 5746003737030963813,
"PACKAGE_STATUS": "ACTIVE",
"REGION": "eu-west-2",
"RISK_SCORE": 10,
"SEVERITY": "Low",
"START_TIME": "2024-09-04 06:00:00.000",
"STATUS": "Exception",
"VULN_ID": "CVE-2021-47472"
}

  • Cumplimiento de la configuración de Cloud (auditoría)

    {
"ACCOUNT": {
  "AccountId": "999999999999",
  "Account_Alias": ""
},
"EVAL_TYPE": "LW_SA",
"ID": "lacework-global-87",
"REASON": "Default security group does not restrict traffic",
"RECOMMENDATION": "Ensure the default security group of every Virtual Private Cloud (VPC) restricts all traffic",
"REGION": "eu-north-1",
"REPORT_TIME": "2024-11-10 18:00:00.000",
"RESOURCE_ID": "arn:aws:ec2:eu-west-1:999999999999:security-group/sg-00000000000000000",
"SECTION": "",
"SEVERITY": "High",
"STATUS": "NonCompliant"
}

  • Consulta o resolución de DNS

    {
"CREATED_TIME": "2024-11-06 05:14:44.329",
"DNS_SERVER_IP": "10.0.0.53",
"FQDN": "data-service-prod-1234567890.s3.eu-west-2.amazonaws.com",
"HOST_IP_ADDR": "172.16.1.20",
"MID": 8843985456817096491,
"TTL": 5
}

  • Evaluación de vulnerabilidades de imágenes

    {
"CVE_PROPS": null,
"EVAL_CTX": {
  "collector_type": "Agentless",
  "image_info": {
    "digest": "sha256:52d5cb782dad7a8a03c8bd1b285bbd32bdbfa8fcc435614bb1e6ceefcf26ae1d",
    "id": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
    "registry": "999999999999.dkr.ecr.eu-west-1.amazonaws.com",
    "repo": "amazon/aws-network-policy-agent"
  }
},
"EVAL_GUID": "3a17a74f0a65eed2bddd2d37bb02e6af",
"FEATURE_KEY": {
  "name": "perl-threads",
  "namespace": "amzn:2",
  "version": "1.87-4.amzn2.0.2"
},
"FIX_INFO": {
  "fix_available": 0,
  "fixed_version": ""
},
"IMAGE_ID": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
"IMAGE_RISK_INFO": {
  "factors": [
    "cve",
    "reachability"
  ],
  "factors_breakdown": {
    "cve_counts": {
      "Critical": 0,
      "High": 21,
      "Medium": 73
    },
    "internet_reachability": "Unknown"
  }
},
"IMAGE_RISK_SCORE": 6.4,
"PACKAGE_STATUS": "NO_AGENT_AVAILABLE",
"RISK_SCORE": 6.4,
"START_TIME": "2024-11-05 19:05:03.553",
"STATUS": "GOOD"
}

  • Resumen del tráfico de red o de la conexión

    {
"DST_ENTITY_ID": {
  "hostname": "service-A.region.amazonaws.com",
  "ip_internal": 0,
  "port": 443,
  "protocol": "TCP"
},
"DST_ENTITY_TYPE": "DnsSep",
"DST_IN_BYTES": 0,
"DST_OUT_BYTES": 0,
"ENDPOINT_DETAILS": [
  {
    "dst_ip_addr": "203.0.113.10",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  },
  {
    "dst_ip_addr": "198.51.100.5",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  }
],
"END_TIME": "2024-11-05 21:00:00.000",
"NUM_CONNS": 4,
"SRC_ENTITY_ID": {
  "mid": 2080882850610892909,
  "pid_hash": 744766973756676842
},
"SRC_ENTITY_TYPE": "Process",
"SRC_IN_BYTES": 25028,
"SRC_OUT_BYTES": 11962,
"START_TIME": "2024-11-05 20:00:00.000"
}

  • Información o actualización del paquete

    {
"ARCH": "x86_64",
"CREATED_TIME": "2024-11-08 01:28:30.566",
"MID": 4172267319977985370,
"PACKAGE_NAME": "grub2",
"VERSION": "2:2.02-0.87.0.2.el7.el7.centos.14.tuxcare.els2"
}

  • Actividad de procesos de contenedor

    {
"CONTAINER_ID": "4853339865add970f72213ec5d76ff51d1308c61a7680cc23c8de20c38c0a8e1",
"END_TIME": "2024-11-08 02:00:00.000",
"FILE_PATH": "/app/grpc-health-probe",
"MID": 3708952045169222383,
"PID": 177267,
"POD_NAME": "kubernetes-pod-abc",
"PPID": 177257,
"PROCESS_START_TIME": "2024-11-08 01:43:29.960",
"START_TIME": "2024-11-08 01:00:00.000",
"UID": 0,
"USERNAME": "serviceuser"
}

  • Alerta o evento general (CloudTrail)

    {
"EVENT_ID": "413328",
"EVENT_NAME": "Unauthorized API Call",
"EVENT_TYPE": "CloudTrailDefaultAlert",
"SUMMARY": " For account: 999999999999 (and 22 more) : event Unauthorized API Call from a username other "
           "than whitelisted ones. Replaces lacework-global-29 occurred 3772 times by user "
           "UDM-PRINCIPAL-ID:UDM-SERVICE-ROLE (and 167 more) ",
"START_TIME": "07 Feb 2025 12:00 GMT",
"EVENT_CATEGORY": "Aws",
"LINK": "https://security.example.net/ui/alert/12345/details",
"ACCOUNT": "UDM_ACCOUNT",
"SOURCE": "CloudTrail",
"subject": {
  "srcEvent": {
    "event": {
      "errorCode": "AccessDenied",
      "errorMessage": "User: arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL "
                      "is not authorized to perform: kinesis:ListShards on resource: "
                      "arn:aws:kinesis:us-east-1:999999999999:stream/ingestion-qa-rel-fraud-review-Stream "
                      "because no identity-based policy allows the kinesis:ListShards action",
      "eventName": "ListShards",
      "eventSource": "kinesis.amazonaws.com",
      "eventTime": "2025-02-07T12:00:24Z",
      "recipientAccountId": "999999999999",
      "sourceIPAddress": "firehose.amazonaws.com",
      "userIdentity": {
        "accessKeyId": "ACCESSKEYIDDUMMY",
        "accountId": "999999999999",
        "arn": "arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL",
        "sessionContext": {
          "sessionIssuer": {
            "accountId": "999999999999",
            "arn": "arn:aws:iam::999999999999:role/UDM-SERVICE-ROLE-IngestionApiRole",
            "principalId": "PRINCIPALIDDUMMY",
            "userName": "UDM-SERVICE-ROLE-IngestionApiRole"
          }
        }
      },
      "vpcEndpointId": "vpce-00000000000000000"
    },
    "principalId": "PRINCIPALIDDUMMY:UDM-SERVICE-PRINCIPAL",
    "recipientAccountId": "999999999999",
    "sourceIPAddress": "firehose.amazonaws.com",
    "userIdentityName": "UDM-SERVICE-ROLE-IngestionApiRole"
  }
}
}

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AGENT_VERSION metadata.product_version Se asigna directamente desde el campo AGENT_VERSION.
CREATED_TIME metadata.event_timestamp Se asigna directamente desde el campo CREATED_TIME y se convierte en una marca de tiempo.
FILEDATA_HASH target.file.sha256 Se asigna directamente desde el campo FILEDATA_HASH.
FILE_PATH target.file.full_path Se asigna directamente desde el campo FILE_PATH.
IP_ADDR principal.ip Se asigna directamente desde el campo IP_ADDR.
OS target.platform Asignado desde el campo OS. Logic convierte varias cadenas de SO (Linux, Windows y Mac) en valores de enumeración de UDM (LINUX, WINDOWS y MAC). El valor predeterminado es UNKNOWN_PLATFORM si no se encuentra ninguna coincidencia.
STATUS additional.fields[].key:"STATUS", value.string_value Se asigna directamente desde el campo STATUS como campo adicional.
TAGS.Account metadata.product_deployment_id Se asigna directamente desde el campo TAGS.Account.
TAGS.AmiId additional.fields[].key:"AmiId", value.string_value Se asigna directamente desde el campo TAGS.AmiId como campo adicional.
TAGS.ExternalIp target.ip Se asigna directamente desde el campo TAGS.ExternalIp.
TAGS.Hostname principal.hostname Se asigna directamente desde el campo TAGS.Hostname.
TAGS.InstanceId target.asset_id Se asigna directamente desde el campo TAGS.InstanceId, con el prefijo "ID de instancia de dispositivo: ".
TAGS.LwTokenShort additional.fields[].key:"LwTokenShort", value.string_value Se asigna directamente desde el campo TAGS.LwTokenShort como campo adicional.
TAGS.MID additional.fields[].key:"MID", value.string_value Se asigna directamente desde el campo MID como campo adicional.
TAGS.MODE additional.fields[].key:"MODE", value.string_value Se asigna directamente desde el campo MODE como campo adicional.
TAGS.Name additional.fields[].key:"Name", value.string_value Se asigna directamente desde el campo TAGS.Name como campo adicional.
TAGS.QSConfigName-vfzg0 additional.fields[].key:"QSConfigName", value.string_value Se asigna directamente desde el campo TAGS.QSConfigName-vfzg0 como campo adicional.
TAGS.ResourceType target.resource.resource_subtype Se asigna directamente desde el campo TAGS.ResourceType.
TAGS.SubnetId target.resource.attribute.labels[].key:"Subnet Id", value Se asigna directamente desde el campo TAGS.SubnetId como una etiqueta en target.resource.attribute.
TAGS.VmInstanceType target.resource.attribute.labels[].key:"VmInstanceType", value Se asigna directamente desde el campo TAGS.VmInstanceType como una etiqueta en target.resource.attribute.
TAGS.VmProvider target.resource.attribute.labels[].key:"VmProvider", value Se asigna directamente desde el campo TAGS.VmProvider como una etiqueta en target.resource.attribute.
TAGS.VpcId target.resource.product_object_id Se asigna directamente desde el campo TAGS.VpcId.
TAGS.Zone target.cloud.availability_zone Se asigna directamente desde el campo TAGS.Zone.
TAGS.alpha.eksctl.io/nodegroup-name additional.fields[].key:"eksctl_nodegroup_name", value.string_value Se asigna directamente desde el campo TAGS.alpha.eksctl.io/nodegroup-name como campo adicional.
TAGS.alpha.eksctl.io/nodegroup-type additional.fields[].key:"eksctl_nodegroup_type", value.string_value Se asigna directamente desde el campo TAGS.alpha.eksctl.io/nodegroup-type como campo adicional.
TAGS.arch principal.platform_version Se asigna directamente desde el campo TAGS.arch.
TAGS.aws:autoscaling:groupName additional.fields[].key:"autoscaling_groupName", value.string_value Se asigna directamente desde el campo TAGS.aws:autoscaling:groupName como campo adicional.
TAGS.aws:ec2:fleet-id additional.fields[].key:"ec2_fleetid", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2:fleet-id como campo adicional.
TAGS.aws:ec2launchtemplate:id additional.fields[].key:"ec2launchtemplate_id", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2launchtemplate:id como campo adicional.
TAGS.aws:ec2launchtemplate:version additional.fields[].key:"ec2launchtemplate_ver", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2launchtemplate:version como campo adicional.
TAGS.aws:eks:cluster-name additional.fields[].key:"eks_cluster_name", value.string_value Se asigna directamente desde el campo TAGS.aws:eks:cluster-name como campo adicional.
TAGS.enableCrowdStrike additional.fields[].key:"enableCrowdStrike", value.string_value Se asigna directamente desde el campo TAGS.enableCrowdStrike como campo adicional.
TAGS.falconx.io/application additional.fields[].key:"io/application", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/application como campo adicional.
TAGS.falconx.io/environment additional.fields[].key:"io/environment", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/environment como campo adicional.
TAGS.falconx.io/managedBy additional.fields[].key:"io/managedBy", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/managedBy como campo adicional.
TAGS.falconx.io/project additional.fields[].key:"io/project", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/project como campo adicional.
TAGS.falconx.io/proxy-type additional.fields[].key:"io/proxy_type", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/proxy-type como campo adicional.
TAGS.falconx.io/service additional.fields[].key:"io/service", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/service como campo adicional.
TAGS.falconx.io/team additional.fields[].key:"io/team", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/team como campo adicional.
TAGS.k8s.io/cluster-autoscaler/enabled additional.fields[].key:"k8s_autoscaler_enabled", value.string_value Se asigna directamente desde el campo TAGS.k8s.io/cluster-autoscaler/enabled como campo adicional.
TAGS.k8s.io/cluster-autoscaler/falcon additional.fields[].key:"k8s_cluster_autoscaler", value.string_value Se asigna directamente desde el campo TAGS.k8s.io/cluster-autoscaler/falcon como campo adicional.
TAGS.kubernetes.io/cluster/falcon additional.fields[].key:"kubernetes_io_cluster", value.string_value Se asigna directamente desde el campo TAGS.kubernetes.io/cluster/falcon como campo adicional.
TAGS.lw_KubernetesCluster additional.fields[].key:"lw_KubernetesCluster", value.string_value Se asigna directamente desde el campo TAGS.lw_KubernetesCluster como campo adicional.
LAST_UPDATE additional.fields[].key:"LAST_UPDATE", value.string_value Se asigna directamente desde el campo LAST_UPDATE como campo adicional. Codificado como "LACEWORK". Codificado como "Lacework Cloud Security".
metadata.event_type metadata.event_type Determinado por la lógica. Se asigna el valor "NETWORK_CONNECTION" si están presentes principal.ip y target.ip, "STATUS_UPDATE" si solo está presente principal.ip y "GENERIC_EVENT" en los demás casos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.