Recopila registros de Lacework Cloud Security

Se admite en los siguientes sistemas operativos:

Descripción general

Este analizador extrae campos de los registros JSON de Lacework Cloud Security y los transforma en formato de UDM. Asigna los campos de registro sin procesar a los campos del UDM, controla varios tipos de datos y enriquece el evento con contexto adicional de las etiquetas, y, por último, clasifica el tipo de evento según la presencia de información del principal y del objetivo.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google Security Operations.
  • Acceso con privilegios a FortiCNAPP Lacework.

Configura feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Lacework).
  5. Selecciona Webhook como el Tipo de origen.
  6. Selecciona Lacework como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  12. Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes regenerar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
  14. Haz clic en Listo.

Crea una clave de API para el feed del webhook

  1. Ve a Google Cloud consola > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y selecciona Clave de API.

  3. Restringe el acceso a la clave de API a la API de Chronicle.

Especifica la URL del extremo

  1. En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de búsqueda en el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Reemplaza lo siguiente:

    • ENDPOINT_URL: Es la URL del extremo del feed.
    • API_KEY: Es la clave de API para autenticarse en Google SecOps.
    • SECRET: Es la clave secreta que generaste para autenticar el feed.

Configura un webhook de Lacework para Google SecOps

  1. Accede a la consola de Lacework FortiCNAPP con privilegios administrativos.
  2. Ve a Configuración > Notificaciones > Canales de alertas.
  3. Haz clic en + Agregar nuevo.
  4. Selecciona Webhook.
  5. Haz clic en Siguiente.
  6. Especifica un nombre único para el canal (por ejemplo, Google SecOps).
  7. URL de webhook: Ingresa <ENDPOINT_URL> seguido de <API_KEY> y <SECRET>.
  8. Haz clic en Guardar.
  9. Selecciona Reglas de alertas y configura los detalles de enrutamiento de alertas que necesites.

Registros de muestra de seguridad en la nube de Lacework admitidos

  • Información del agente o de la máquina (inventario de host)

    {
  "AGENT_VERSION": "6.7.6-4ce73a7b",
  "CREATED_TIME": "Thu, 03 Nov 2022 02:09:36 -0700",
  "HOSTNAME": "host-agent-1",
  "IP_ADDR": "10.0.0.1",
  "LAST_UPDATE": "Wed, 18 Oct 2023 17:59:09 -0700",
  "MID": 6516601498285932156,
  "MODE": "ebpf",
  "OS": "Linux",
  "STATUS": "ACTIVE",
  "TAGS": {
    "Account": "999999999999",
    "AmiId": "ami-00000000000000000",
    "ExternalIp": "203.0.113.10",
    "Hostname": "internal-host-1.zone.compute.internal",
    "InstanceId": "i-00000000000000000",
    "InternalIp": "172.16.1.10",
    "LwTokenShort": "DUMMYTOKENABCD123456",
    "Name": "proxy-DMZ-app-1",
    "ResourceType": "proxy-machines",
    "SubnetId": "subnet-00000000000000000",
    "VmInstanceType": "t3.small",
    "VmProvider": "AWS",
    "VpcId": "vpc-00000000000000000",
    "Zone": "us-west-2a",
    "arch": "amd64",
    "falconx.io/application": "proxy-machines",
    "falconx.io/environment": "prod",
    "falconx.io/project": "edge",
    "falconx.io/team": "edge",
    "os": "linux"
  }
}

  • Metadatos o integridad del archivo

    {
"CREATED_TIME": "Wed, 18 Oct 2023 17:02:01 -0700",
"FILEDATA_HASH": "DUMMYHASH582C741AD91CA817B4718DEAA4E8A83C0B9D92E2",
"FILE_PATH": "/usr/local/bin/secure_config",
"MID": 7371220731851617371,
"MTIME": "Fri, 25 Aug 2023 13:03:09 -0700",
"SIZE": 8078
}

  • Evaluación de vulnerabilidades del host

    {
"CVE_PROPS": {
  "description": "DOCUMENTATION: The MITRE CVE dictionary describes this issue as: "
                 "This CVE ID has been rejected or withdrawn by its CVE Numbering "
                 "Authority for the following reason: This CVE ID has been rejected "
                 "or withdrawn by its CVE Numbering Authority.",
  "link": "https://vendor.example.com/security/cve/CVE-2021-47472",
  "metadata": null
},
"CVE_RISK_INFO": {
  "HOST_COUNT": 1249,
  "IMAGE_COUNT": 0,
  "PKG_COUNT": 0,
  "SEVERITY_LEVEL": 2,
  "score": 0.5154245281584533
},
"CVE_RISK_SCORE": 3.77,
"END_TIME": "2024-09-04 07:00:00.000",
"EVAL_CTX": {
  "collector_type": "Agent",
  "exception_props": [],
  "hostname": "vuln-host-1.example.net"
},
"EVAL_GUID": "3dc61df780e3b722aa59b0ffcac85683",
"FEATURE_KEY": {
  "name": "kernel-headers",
  "namespace": "centos:7",
  "package_active": 1,
  "package_path": "",
  "version_installed": "0:3.10.0-1160.119.1.el7.tuxcare.els2"
},
"MACHINE_TAGS": {
  "Account": "999999999999",
  "AmiId": "ami-00000000000000000",
  "ExternalIp": "203.0.113.10",
  "Hostname": "ip-172-16-1-10.example-prod.aws.featurespace.net",
  "InternalIp": "10.0.0.1",
  "LwTokenShort": "DUMMYTOKENABCD123456",
  "VmProvider": "AWS",
  "VpcId": "vpc-00000000000000000",
  "os": "linux"
},
"MID": 5746003737030963813,
"PACKAGE_STATUS": "ACTIVE",
"REGION": "eu-west-2",
"RISK_SCORE": 10,
"SEVERITY": "Low",
"START_TIME": "2024-09-04 06:00:00.000",
"STATUS": "Exception",
"VULN_ID": "CVE-2021-47472"
}

  • Cumplimiento de la configuración de Cloud (auditoría)

    {
"ACCOUNT": {
  "AccountId": "999999999999",
  "Account_Alias": ""
},
"EVAL_TYPE": "LW_SA",
"ID": "lacework-global-87",
"REASON": "Default security group does not restrict traffic",
"RECOMMENDATION": "Ensure the default security group of every Virtual Private Cloud (VPC) restricts all traffic",
"REGION": "eu-north-1",
"REPORT_TIME": "2024-11-10 18:00:00.000",
"RESOURCE_ID": "arn:aws:ec2:eu-west-1:999999999999:security-group/sg-00000000000000000",
"SECTION": "",
"SEVERITY": "High",
"STATUS": "NonCompliant"
}

  • Consulta o resolución de DNS

    {
"CREATED_TIME": "2024-11-06 05:14:44.329",
"DNS_SERVER_IP": "10.0.0.53",
"FQDN": "data-service-prod-1234567890.s3.eu-west-2.amazonaws.com",
"HOST_IP_ADDR": "172.16.1.20",
"MID": 8843985456817096491,
"TTL": 5
}

  • Evaluación de vulnerabilidades de imágenes

    {
"CVE_PROPS": null,
"EVAL_CTX": {
  "collector_type": "Agentless",
  "image_info": {
    "digest": "sha256:52d5cb782dad7a8a03c8bd1b285bbd32bdbfa8fcc435614bb1e6ceefcf26ae1d",
    "id": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
    "registry": "999999999999.dkr.ecr.eu-west-1.amazonaws.com",
    "repo": "amazon/aws-network-policy-agent"
  }
},
"EVAL_GUID": "3a17a74f0a65eed2bddd2d37bb02e6af",
"FEATURE_KEY": {
  "name": "perl-threads",
  "namespace": "amzn:2",
  "version": "1.87-4.amzn2.0.2"
},
"FIX_INFO": {
  "fix_available": 0,
  "fixed_version": ""
},
"IMAGE_ID": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
"IMAGE_RISK_INFO": {
  "factors": [
    "cve",
    "reachability"
  ],
  "factors_breakdown": {
    "cve_counts": {
      "Critical": 0,
      "High": 21,
      "Medium": 73
    },
    "internet_reachability": "Unknown"
  }
},
"IMAGE_RISK_SCORE": 6.4,
"PACKAGE_STATUS": "NO_AGENT_AVAILABLE",
"RISK_SCORE": 6.4,
"START_TIME": "2024-11-05 19:05:03.553",
"STATUS": "GOOD"
}

  • Resumen de la conexión o el tráfico de red

    {
"DST_ENTITY_ID": {
  "hostname": "service-A.region.amazonaws.com",
  "ip_internal": 0,
  "port": 443,
  "protocol": "TCP"
},
"DST_ENTITY_TYPE": "DnsSep",
"DST_IN_BYTES": 0,
"DST_OUT_BYTES": 0,
"ENDPOINT_DETAILS": [
  {
    "dst_ip_addr": "203.0.113.10",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  },
  {
    "dst_ip_addr": "198.51.100.5",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  }
],
"END_TIME": "2024-11-05 21:00:00.000",
"NUM_CONNS": 4,
"SRC_ENTITY_ID": {
  "mid": 2080882850610892909,
  "pid_hash": 744766973756676842
},
"SRC_ENTITY_TYPE": "Process",
"SRC_IN_BYTES": 25028,
"SRC_OUT_BYTES": 11962,
"START_TIME": "2024-11-05 20:00:00.000"
}

  • Información o actualización del paquete

    {
"ARCH": "x86_64",
"CREATED_TIME": "2024-11-08 01:28:30.566",
"MID": 4172267319977985370,
"PACKAGE_NAME": "grub2",
"VERSION": "2:2.02-0.87.0.2.el7.el7.centos.14.tuxcare.els2"
}

  • Actividad del proceso del contenedor

    {
"CONTAINER_ID": "4853339865add970f72213ec5d76ff51d1308c61a7680cc23c8de20c38c0a8e1",
"END_TIME": "2024-11-08 02:00:00.000",
"FILE_PATH": "/app/grpc-health-probe",
"MID": 3708952045169222383,
"PID": 177267,
"POD_NAME": "kubernetes-pod-abc",
"PPID": 177257,
"PROCESS_START_TIME": "2024-11-08 01:43:29.960",
"START_TIME": "2024-11-08 01:00:00.000",
"UID": 0,
"USERNAME": "serviceuser"
}

  • Alerta o evento general (CloudTrail)

    {
"EVENT_ID": "413328",
"EVENT_NAME": "Unauthorized API Call",
"EVENT_TYPE": "CloudTrailDefaultAlert",
"SUMMARY": " For account: 999999999999 (and 22 more) : event Unauthorized API Call from a username other "
           "than whitelisted ones. Replaces lacework-global-29 occurred 3772 times by user "
           "UDM-PRINCIPAL-ID:UDM-SERVICE-ROLE (and 167 more) ",
"START_TIME": "07 Feb 2025 12:00 GMT",
"EVENT_CATEGORY": "Aws",
"LINK": "https://security.example.net/ui/alert/12345/details",
"ACCOUNT": "UDM_ACCOUNT",
"SOURCE": "CloudTrail",
"subject": {
  "srcEvent": {
    "event": {
      "errorCode": "AccessDenied",
      "errorMessage": "User: arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL "
                      "is not authorized to perform: kinesis:ListShards on resource: "
                      "arn:aws:kinesis:us-east-1:999999999999:stream/ingestion-qa-rel-fraud-review-Stream "
                      "because no identity-based policy allows the kinesis:ListShards action",
      "eventName": "ListShards",
      "eventSource": "kinesis.amazonaws.com",
      "eventTime": "2025-02-07T12:00:24Z",
      "recipientAccountId": "999999999999",
      "sourceIPAddress": "firehose.amazonaws.com",
      "userIdentity": {
        "accessKeyId": "ACCESSKEYIDDUMMY",
        "accountId": "999999999999",
        "arn": "arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL",
        "sessionContext": {
          "sessionIssuer": {
            "accountId": "999999999999",
            "arn": "arn:aws:iam::999999999999:role/UDM-SERVICE-ROLE-IngestionApiRole",
            "principalId": "PRINCIPALIDDUMMY",
            "userName": "UDM-SERVICE-ROLE-IngestionApiRole"
          }
        }
      },
      "vpcEndpointId": "vpce-00000000000000000"
    },
    "principalId": "PRINCIPALIDDUMMY:UDM-SERVICE-PRINCIPAL",
    "recipientAccountId": "999999999999",
    "sourceIPAddress": "firehose.amazonaws.com",
    "userIdentityName": "UDM-SERVICE-ROLE-IngestionApiRole"
  }
}
}

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AGENT_VERSION metadata.product_version Se asigna directamente desde el campo AGENT_VERSION.
CREATED_TIME metadata.event_timestamp Se asigna directamente desde el campo CREATED_TIME y se convierte en una marca de tiempo.
FILEDATA_HASH target.file.sha256 Se asigna directamente desde el campo FILEDATA_HASH.
FILE_PATH target.file.full_path Se asigna directamente desde el campo FILE_PATH.
IP_ADDR principal.ip Se asigna directamente desde el campo IP_ADDR.
OS target.platform Se asignó desde el campo OS. La lógica convierte varias cadenas de SO (Linux, Windows, Mac) en valores de enumeración del UDM (LINUX, WINDOWS, MAC). El valor predeterminado es UNKNOWN_PLATFORM si no se encuentra una coincidencia.
STATUS additional.fields[].key:"STATUS", value.string_value Se asigna directamente desde el campo STATUS como un campo adicional.
TAGS.Account metadata.product_deployment_id Se asigna directamente desde el campo TAGS.Account.
TAGS.AmiId additional.fields[].key:"AmiId", value.string_value Se asigna directamente desde el campo TAGS.AmiId como un campo adicional.
TAGS.ExternalIp target.ip Se asigna directamente desde el campo TAGS.ExternalIp.
TAGS.Hostname principal.hostname Se asigna directamente desde el campo TAGS.Hostname.
TAGS.InstanceId target.asset_id Se asigna directamente desde el campo TAGS.InstanceId, con el prefijo "Device Instance Id: ".
TAGS.LwTokenShort additional.fields[].key:"LwTokenShort", value.string_value Se asigna directamente desde el campo TAGS.LwTokenShort como un campo adicional.
TAGS.MID additional.fields[].key:"MID", value.string_value Se asigna directamente desde el campo MID como un campo adicional.
TAGS.MODE additional.fields[].key:"MODE", value.string_value Se asigna directamente desde el campo MODE como un campo adicional.
TAGS.Name additional.fields[].key:"Name", value.string_value Se asigna directamente desde el campo TAGS.Name como un campo adicional.
TAGS.QSConfigName-vfzg0 additional.fields[].key:"QSConfigName", value.string_value Se asigna directamente desde el campo TAGS.QSConfigName-vfzg0 como un campo adicional.
TAGS.ResourceType target.resource.resource_subtype Se asigna directamente desde el campo TAGS.ResourceType.
TAGS.SubnetId target.resource.attribute.labels[].key:"Subnet Id", value Se asigna directamente desde el campo TAGS.SubnetId como una etiqueta dentro de target.resource.attribute.
TAGS.VmInstanceType target.resource.attribute.labels[].key:"VmInstanceType", value Se asigna directamente desde el campo TAGS.VmInstanceType como una etiqueta dentro de target.resource.attribute.
TAGS.VmProvider target.resource.attribute.labels[].key:"VmProvider", value Se asigna directamente desde el campo TAGS.VmProvider como una etiqueta dentro de target.resource.attribute.
TAGS.VpcId target.resource.product_object_id Se asigna directamente desde el campo TAGS.VpcId.
TAGS.Zone target.cloud.availability_zone Se asigna directamente desde el campo TAGS.Zone.
TAGS.alpha.eksctl.io/nodegroup-name additional.fields[].key:"eksctl_nodegroup_name", value.string_value Se asigna directamente desde el campo TAGS.alpha.eksctl.io/nodegroup-name como un campo adicional.
TAGS.alpha.eksctl.io/nodegroup-type additional.fields[].key:"eksctl_nodegroup_type", value.string_value Se asigna directamente desde el campo TAGS.alpha.eksctl.io/nodegroup-type como un campo adicional.
TAGS.arch principal.platform_version Se asigna directamente desde el campo TAGS.arch.
TAGS.aws:autoscaling:groupName additional.fields[].key:"autoscaling_groupName", value.string_value Se asigna directamente desde el campo TAGS.aws:autoscaling:groupName como un campo adicional.
TAGS.aws:ec2:fleet-id additional.fields[].key:"ec2_fleetid", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2:fleet-id como un campo adicional.
TAGS.aws:ec2launchtemplate:id additional.fields[].key:"ec2launchtemplate_id", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2launchtemplate:id como un campo adicional.
TAGS.aws:ec2launchtemplate:version additional.fields[].key:"ec2launchtemplate_ver", value.string_value Se asigna directamente desde el campo TAGS.aws:ec2launchtemplate:version como un campo adicional.
TAGS.aws:eks:cluster-name additional.fields[].key:"eks_cluster_name", value.string_value Se asigna directamente desde el campo TAGS.aws:eks:cluster-name como un campo adicional.
TAGS.enableCrowdStrike additional.fields[].key:"enableCrowdStrike", value.string_value Se asigna directamente desde el campo TAGS.enableCrowdStrike como un campo adicional.
TAGS.falconx.io/application additional.fields[].key:"io/application", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/application como un campo adicional.
TAGS.falconx.io/environment additional.fields[].key:"io/environment", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/environment como un campo adicional.
TAGS.falconx.io/managedBy additional.fields[].key:"io/managedBy", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/managedBy como un campo adicional.
TAGS.falconx.io/project additional.fields[].key:"io/project", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/project como un campo adicional.
TAGS.falconx.io/proxy-type additional.fields[].key:"io/proxy_type", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/proxy-type como un campo adicional.
TAGS.falconx.io/service additional.fields[].key:"io/service", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/service como un campo adicional.
TAGS.falconx.io/team additional.fields[].key:"io/team", value.string_value Se asigna directamente desde el campo TAGS.falconx.io/team como un campo adicional.
TAGS.k8s.io/cluster-autoscaler/enabled additional.fields[].key:"k8s_autoscaler_enabled", value.string_value Se asigna directamente desde el campo TAGS.k8s.io/cluster-autoscaler/enabled como un campo adicional.
TAGS.k8s.io/cluster-autoscaler/falcon additional.fields[].key:"k8s_cluster_autoscaler", value.string_value Se asigna directamente desde el campo TAGS.k8s.io/cluster-autoscaler/falcon como un campo adicional.
TAGS.kubernetes.io/cluster/falcon additional.fields[].key:"kubernetes_io_cluster", value.string_value Se asigna directamente desde el campo TAGS.kubernetes.io/cluster/falcon como un campo adicional.
TAGS.lw_KubernetesCluster additional.fields[].key:"lw_KubernetesCluster", value.string_value Se asigna directamente desde el campo TAGS.lw_KubernetesCluster como un campo adicional.
LAST_UPDATE additional.fields[].key:"LAST_UPDATE", value.string_value Se asigna directamente desde el campo LAST_UPDATE como un campo adicional. Se codificó de forma rígida como "LACEWORK". Se codifica como "Lacework Cloud Security".
metadata.event_type metadata.event_type Se determina por la lógica. Se establece en "NETWORK_CONNECTION" si están presentes principal.ip y target.ip, en "STATUS_UPDATE" si solo está presente principal.ip y en "GENERIC_EVENT" en cualquier otro caso.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.