Lacework Cloud Security 로그 수집

다음에서 지원:

개요

이 파서는 Lacework Cloud Security JSON 로그에서 필드를 추출하여 UDM 형식으로 변환합니다. 원시 로그 필드를 UDM 필드에 매핑하고, 다양한 데이터 유형을 처리하고, 태그의 추가 컨텍스트로 이벤트를 보강하고, 궁극적으로 주체 및 타겟 정보의 존재 여부에 따라 이벤트 유형을 분류합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google Security Operations 인스턴스입니다.
  • FortiCNAPP Lacework에 대한 액세스 권한 관리

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다 (예: Lacework Logs).
  5. 소스 유형으로 웹훅을 선택합니다.
  6. 로그 유형으로 Lacework를 선택합니다.
  7. 다음을 클릭합니다.
  8. 선택사항: 다음 입력 파라미터의 값을 지정합니다.
    • 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예: \n).
  9. 다음을 클릭합니다.
  10. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
  11. 보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
  12. 비밀 키를 복사하여 저장합니다. 이 보안 비밀 키는 다시 볼 수 없습니다. 필요한 경우 새 보안 비밀 키를 재생성할 수 있지만 이 작업으로 인해 이전 보안 비밀 키는 더 이상 사용할 수 없게 됩니다.
  13. 세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. 클라이언트 애플리케이션에서 이 엔드포인트 URL을 지정해야 합니다.
  14. 완료를 클릭합니다.

웹훅 피드에 대한 API 키 만들기

  1. Google Cloud 콘솔 > 사용자 인증 정보로 이동합니다.

    사용자 인증 정보로 이동

  2. 사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.

  3. Chronicle API에 대한 API 키 액세스를 제한합니다.

엔드포인트 URL 지정

  1. 클라이언트 애플리케이션에서 웹훅 피드에 제공된 HTTPS 엔드포인트 URL을 지정합니다.

  2. 다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다.

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    권장사항: URL에 지정하는 대신 API 키를 헤더로 지정하세요.

  3. 웹훅 클라이언트가 커스텀 헤더를 지원하지 않는 경우 쿼리 파라미터를 다음 형식으로 사용하여 API 키와 보안 비밀 키를 지정할 수 있습니다.

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    다음을 바꿉니다.

    • ENDPOINT_URL: 피드 엔드포인트 URL입니다.
    • API_KEY: Google SecOps에 인증하기 위한 API 키입니다.
    • SECRET: 피드를 인증하기 위해 생성한 보안 비밀 키입니다.

Google SecOps용 Lacework 웹훅 구성

  1. 관리자 권한으로 Lacework FortiCNAPP 콘솔에 로그인합니다.
  2. 설정 > 알림 > 알림 채널로 이동합니다.
  3. + 새로 추가를 클릭합니다.
  4. 웹훅을 선택합니다.
  5. 다음을 클릭합니다.
  6. 채널에 고유한 이름을 지정합니다 (예: Google SecOps).
  7. 웹훅 URL: <ENDPOINT_URL>를 입력한 다음 <API_KEY><SECRET>를 입력합니다.
  8. 저장을 클릭합니다.
  9. 알림 규칙을 선택하고 필요한 알림 라우팅 세부정보를 구성합니다.

지원되는 Lacework Cloud Security 샘플 로그

  • 에이전트 또는 머신 정보 (호스트 인벤토리)

    {
  "AGENT_VERSION": "6.7.6-4ce73a7b",
  "CREATED_TIME": "Thu, 03 Nov 2022 02:09:36 -0700",
  "HOSTNAME": "host-agent-1",
  "IP_ADDR": "10.0.0.1",
  "LAST_UPDATE": "Wed, 18 Oct 2023 17:59:09 -0700",
  "MID": 6516601498285932156,
  "MODE": "ebpf",
  "OS": "Linux",
  "STATUS": "ACTIVE",
  "TAGS": {
    "Account": "999999999999",
    "AmiId": "ami-00000000000000000",
    "ExternalIp": "203.0.113.10",
    "Hostname": "internal-host-1.zone.compute.internal",
    "InstanceId": "i-00000000000000000",
    "InternalIp": "172.16.1.10",
    "LwTokenShort": "DUMMYTOKENABCD123456",
    "Name": "proxy-DMZ-app-1",
    "ResourceType": "proxy-machines",
    "SubnetId": "subnet-00000000000000000",
    "VmInstanceType": "t3.small",
    "VmProvider": "AWS",
    "VpcId": "vpc-00000000000000000",
    "Zone": "us-west-2a",
    "arch": "amd64",
    "falconx.io/application": "proxy-machines",
    "falconx.io/environment": "prod",
    "falconx.io/project": "edge",
    "falconx.io/team": "edge",
    "os": "linux"
  }
}

  • 파일 메타데이터 또는 무결성

    {
"CREATED_TIME": "Wed, 18 Oct 2023 17:02:01 -0700",
"FILEDATA_HASH": "DUMMYHASH582C741AD91CA817B4718DEAA4E8A83C0B9D92E2",
"FILE_PATH": "/usr/local/bin/secure_config",
"MID": 7371220731851617371,
"MTIME": "Fri, 25 Aug 2023 13:03:09 -0700",
"SIZE": 8078
}

  • 호스트 취약점 평가

    {
"CVE_PROPS": {
  "description": "DOCUMENTATION: The MITRE CVE dictionary describes this issue as: "
                 "This CVE ID has been rejected or withdrawn by its CVE Numbering "
                 "Authority for the following reason: This CVE ID has been rejected "
                 "or withdrawn by its CVE Numbering Authority.",
  "link": "https://vendor.example.com/security/cve/CVE-2021-47472",
  "metadata": null
},
"CVE_RISK_INFO": {
  "HOST_COUNT": 1249,
  "IMAGE_COUNT": 0,
  "PKG_COUNT": 0,
  "SEVERITY_LEVEL": 2,
  "score": 0.5154245281584533
},
"CVE_RISK_SCORE": 3.77,
"END_TIME": "2024-09-04 07:00:00.000",
"EVAL_CTX": {
  "collector_type": "Agent",
  "exception_props": [],
  "hostname": "vuln-host-1.example.net"
},
"EVAL_GUID": "3dc61df780e3b722aa59b0ffcac85683",
"FEATURE_KEY": {
  "name": "kernel-headers",
  "namespace": "centos:7",
  "package_active": 1,
  "package_path": "",
  "version_installed": "0:3.10.0-1160.119.1.el7.tuxcare.els2"
},
"MACHINE_TAGS": {
  "Account": "999999999999",
  "AmiId": "ami-00000000000000000",
  "ExternalIp": "203.0.113.10",
  "Hostname": "ip-172-16-1-10.example-prod.aws.featurespace.net",
  "InternalIp": "10.0.0.1",
  "LwTokenShort": "DUMMYTOKENABCD123456",
  "VmProvider": "AWS",
  "VpcId": "vpc-00000000000000000",
  "os": "linux"
},
"MID": 5746003737030963813,
"PACKAGE_STATUS": "ACTIVE",
"REGION": "eu-west-2",
"RISK_SCORE": 10,
"SEVERITY": "Low",
"START_TIME": "2024-09-04 06:00:00.000",
"STATUS": "Exception",
"VULN_ID": "CVE-2021-47472"
}

  • 클라우드 구성 규정 준수 (감사)

    {
"ACCOUNT": {
  "AccountId": "999999999999",
  "Account_Alias": ""
},
"EVAL_TYPE": "LW_SA",
"ID": "lacework-global-87",
"REASON": "Default security group does not restrict traffic",
"RECOMMENDATION": "Ensure the default security group of every Virtual Private Cloud (VPC) restricts all traffic",
"REGION": "eu-north-1",
"REPORT_TIME": "2024-11-10 18:00:00.000",
"RESOURCE_ID": "arn:aws:ec2:eu-west-1:999999999999:security-group/sg-00000000000000000",
"SECTION": "",
"SEVERITY": "High",
"STATUS": "NonCompliant"
}

  • DNS 쿼리 또는 변환

    {
"CREATED_TIME": "2024-11-06 05:14:44.329",
"DNS_SERVER_IP": "10.0.0.53",
"FQDN": "data-service-prod-1234567890.s3.eu-west-2.amazonaws.com",
"HOST_IP_ADDR": "172.16.1.20",
"MID": 8843985456817096491,
"TTL": 5
}

  • 이미지 취약점 평가

    {
"CVE_PROPS": null,
"EVAL_CTX": {
  "collector_type": "Agentless",
  "image_info": {
    "digest": "sha256:52d5cb782dad7a8a03c8bd1b285bbd32bdbfa8fcc435614bb1e6ceefcf26ae1d",
    "id": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
    "registry": "999999999999.dkr.ecr.eu-west-1.amazonaws.com",
    "repo": "amazon/aws-network-policy-agent"
  }
},
"EVAL_GUID": "3a17a74f0a65eed2bddd2d37bb02e6af",
"FEATURE_KEY": {
  "name": "perl-threads",
  "namespace": "amzn:2",
  "version": "1.87-4.amzn2.0.2"
},
"FIX_INFO": {
  "fix_available": 0,
  "fixed_version": ""
},
"IMAGE_ID": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df",
"IMAGE_RISK_INFO": {
  "factors": [
    "cve",
    "reachability"
  ],
  "factors_breakdown": {
    "cve_counts": {
      "Critical": 0,
      "High": 21,
      "Medium": 73
    },
    "internet_reachability": "Unknown"
  }
},
"IMAGE_RISK_SCORE": 6.4,
"PACKAGE_STATUS": "NO_AGENT_AVAILABLE",
"RISK_SCORE": 6.4,
"START_TIME": "2024-11-05 19:05:03.553",
"STATUS": "GOOD"
}

  • 네트워크 트래픽 또는 연결 요약

    {
"DST_ENTITY_ID": {
  "hostname": "service-A.region.amazonaws.com",
  "ip_internal": 0,
  "port": 443,
  "protocol": "TCP"
},
"DST_ENTITY_TYPE": "DnsSep",
"DST_IN_BYTES": 0,
"DST_OUT_BYTES": 0,
"ENDPOINT_DETAILS": [
  {
    "dst_ip_addr": "203.0.113.10",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  },
  {
    "dst_ip_addr": "198.51.100.5",
    "dst_port": 443,
    "protocol": "TCP",
    "src_ip_addr": "192.168.1.10"
  }
],
"END_TIME": "2024-11-05 21:00:00.000",
"NUM_CONNS": 4,
"SRC_ENTITY_ID": {
  "mid": 2080882850610892909,
  "pid_hash": 744766973756676842
},
"SRC_ENTITY_TYPE": "Process",
"SRC_IN_BYTES": 25028,
"SRC_OUT_BYTES": 11962,
"START_TIME": "2024-11-05 20:00:00.000"
}

  • 패키지 정보 또는 업데이트

    {
"ARCH": "x86_64",
"CREATED_TIME": "2024-11-08 01:28:30.566",
"MID": 4172267319977985370,
"PACKAGE_NAME": "grub2",
"VERSION": "2:2.02-0.87.0.2.el7.el7.centos.14.tuxcare.els2"
}

  • 컨테이너 프로세스 활동

    {
"CONTAINER_ID": "4853339865add970f72213ec5d76ff51d1308c61a7680cc23c8de20c38c0a8e1",
"END_TIME": "2024-11-08 02:00:00.000",
"FILE_PATH": "/app/grpc-health-probe",
"MID": 3708952045169222383,
"PID": 177267,
"POD_NAME": "kubernetes-pod-abc",
"PPID": 177257,
"PROCESS_START_TIME": "2024-11-08 01:43:29.960",
"START_TIME": "2024-11-08 01:00:00.000",
"UID": 0,
"USERNAME": "serviceuser"
}

  • 일반 알림 또는 이벤트 (CloudTrail)

    {
"EVENT_ID": "413328",
"EVENT_NAME": "Unauthorized API Call",
"EVENT_TYPE": "CloudTrailDefaultAlert",
"SUMMARY": " For account: 999999999999 (and 22 more) : event Unauthorized API Call from a username other "
           "than whitelisted ones. Replaces lacework-global-29 occurred 3772 times by user "
           "UDM-PRINCIPAL-ID:UDM-SERVICE-ROLE (and 167 more) ",
"START_TIME": "07 Feb 2025 12:00 GMT",
"EVENT_CATEGORY": "Aws",
"LINK": "https://security.example.net/ui/alert/12345/details",
"ACCOUNT": "UDM_ACCOUNT",
"SOURCE": "CloudTrail",
"subject": {
  "srcEvent": {
    "event": {
      "errorCode": "AccessDenied",
      "errorMessage": "User: arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL "
                      "is not authorized to perform: kinesis:ListShards on resource: "
                      "arn:aws:kinesis:us-east-1:999999999999:stream/ingestion-qa-rel-fraud-review-Stream "
                      "because no identity-based policy allows the kinesis:ListShards action",
      "eventName": "ListShards",
      "eventSource": "kinesis.amazonaws.com",
      "eventTime": "2025-02-07T12:00:24Z",
      "recipientAccountId": "999999999999",
      "sourceIPAddress": "firehose.amazonaws.com",
      "userIdentity": {
        "accessKeyId": "ACCESSKEYIDDUMMY",
        "accountId": "999999999999",
        "arn": "arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL",
        "sessionContext": {
          "sessionIssuer": {
            "accountId": "999999999999",
            "arn": "arn:aws:iam::999999999999:role/UDM-SERVICE-ROLE-IngestionApiRole",
            "principalId": "PRINCIPALIDDUMMY",
            "userName": "UDM-SERVICE-ROLE-IngestionApiRole"
          }
        }
      },
      "vpcEndpointId": "vpce-00000000000000000"
    },
    "principalId": "PRINCIPALIDDUMMY:UDM-SERVICE-PRINCIPAL",
    "recipientAccountId": "999999999999",
    "sourceIPAddress": "firehose.amazonaws.com",
    "userIdentityName": "UDM-SERVICE-ROLE-IngestionApiRole"
  }
}
}

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
AGENT_VERSION metadata.product_version AGENT_VERSION 필드에서 직접 매핑됩니다.
CREATED_TIME metadata.event_timestamp CREATED_TIME 필드에서 직접 매핑되며 타임스탬프로 변환됩니다.
FILEDATA_HASH target.file.sha256 FILEDATA_HASH 필드에서 직접 매핑됩니다.
FILE_PATH target.file.full_path FILE_PATH 필드에서 직접 매핑됩니다.
IP_ADDR principal.ip IP_ADDR 필드에서 직접 매핑됩니다.
OS target.platform OS 필드에서 매핑됩니다. 로직은 다양한 OS 문자열 (Linux, Windows, Mac)을 UDM 열거형 값 (LINUX, WINDOWS, MAC)으로 변환합니다. 일치하는 항목이 없으면 기본값은 UNKNOWN_PLATFORM입니다.
STATUS additional.fields[].key:"STATUS", value.string_value STATUS 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.Account metadata.product_deployment_id TAGS.Account 필드에서 직접 매핑됩니다.
TAGS.AmiId additional.fields[].key:"AmiId", value.string_value TAGS.AmiId 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.ExternalIp target.ip TAGS.ExternalIp 필드에서 직접 매핑됩니다.
TAGS.Hostname principal.hostname TAGS.Hostname 필드에서 직접 매핑됩니다.
TAGS.InstanceId target.asset_id TAGS.InstanceId 필드에서 직접 매핑되며 '기기 인스턴스 ID: '가 앞에 붙습니다.
TAGS.LwTokenShort additional.fields[].key:"LwTokenShort", value.string_value TAGS.LwTokenShort 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.MID additional.fields[].key:"MID", value.string_value MID 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.MODE additional.fields[].key:"MODE", value.string_value MODE 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.Name additional.fields[].key:"Name", value.string_value TAGS.Name 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.QSConfigName-vfzg0 additional.fields[].key:"QSConfigName", value.string_value TAGS.QSConfigName-vfzg0 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.ResourceType target.resource.resource_subtype TAGS.ResourceType 필드에서 직접 매핑됩니다.
TAGS.SubnetId target.resource.attribute.labels[].key:"Subnet Id", value TAGS.SubnetId 필드에서 target.resource.attribute 내 라벨로 직접 매핑됩니다.
TAGS.VmInstanceType target.resource.attribute.labels[].key:"VmInstanceType", value TAGS.VmInstanceType 필드에서 target.resource.attribute 내 라벨로 직접 매핑됩니다.
TAGS.VmProvider target.resource.attribute.labels[].key:"VmProvider", value TAGS.VmProvider 필드에서 target.resource.attribute 내 라벨로 직접 매핑됩니다.
TAGS.VpcId target.resource.product_object_id TAGS.VpcId 필드에서 직접 매핑됩니다.
TAGS.Zone target.cloud.availability_zone TAGS.Zone 필드에서 직접 매핑됩니다.
TAGS.alpha.eksctl.io/nodegroup-name additional.fields[].key:"eksctl_nodegroup_name", value.string_value TAGS.alpha.eksctl.io/nodegroup-name 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.alpha.eksctl.io/nodegroup-type additional.fields[].key:"eksctl_nodegroup_type", value.string_value TAGS.alpha.eksctl.io/nodegroup-type 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.arch principal.platform_version TAGS.arch 필드에서 직접 매핑됩니다.
TAGS.aws:autoscaling:groupName additional.fields[].key:"autoscaling_groupName", value.string_value TAGS.aws:autoscaling:groupName 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.aws:ec2:fleet-id additional.fields[].key:"ec2_fleetid", value.string_value TAGS.aws:ec2:fleet-id 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.aws:ec2launchtemplate:id additional.fields[].key:"ec2launchtemplate_id", value.string_value TAGS.aws:ec2launchtemplate:id 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.aws:ec2launchtemplate:version additional.fields[].key:"ec2launchtemplate_ver", value.string_value TAGS.aws:ec2launchtemplate:version 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.aws:eks:cluster-name additional.fields[].key:"eks_cluster_name", value.string_value TAGS.aws:eks:cluster-name 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.enableCrowdStrike additional.fields[].key:"enableCrowdStrike", value.string_value TAGS.enableCrowdStrike 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/application additional.fields[].key:"io/application", value.string_value TAGS.falconx.io/application 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/environment additional.fields[].key:"io/environment", value.string_value TAGS.falconx.io/environment 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/managedBy additional.fields[].key:"io/managedBy", value.string_value TAGS.falconx.io/managedBy 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/project additional.fields[].key:"io/project", value.string_value TAGS.falconx.io/project 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/proxy-type additional.fields[].key:"io/proxy_type", value.string_value TAGS.falconx.io/proxy-type 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/service additional.fields[].key:"io/service", value.string_value TAGS.falconx.io/service 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.falconx.io/team additional.fields[].key:"io/team", value.string_value TAGS.falconx.io/team 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.k8s.io/cluster-autoscaler/enabled additional.fields[].key:"k8s_autoscaler_enabled", value.string_value TAGS.k8s.io/cluster-autoscaler/enabled 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.k8s.io/cluster-autoscaler/falcon additional.fields[].key:"k8s_cluster_autoscaler", value.string_value TAGS.k8s.io/cluster-autoscaler/falcon 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.kubernetes.io/cluster/falcon additional.fields[].key:"kubernetes_io_cluster", value.string_value TAGS.kubernetes.io/cluster/falcon 필드에서 추가 필드로 직접 매핑됩니다.
TAGS.lw_KubernetesCluster additional.fields[].key:"lw_KubernetesCluster", value.string_value TAGS.lw_KubernetesCluster 필드에서 추가 필드로 직접 매핑됩니다.
LAST_UPDATE additional.fields[].key:"LAST_UPDATE", value.string_value LAST_UPDATE 필드에서 추가 필드로 직접 매핑됩니다. 'LACEWORK'로 하드코딩됩니다. 'Lacework Cloud Security'로 하드코딩됩니다.
metadata.event_type metadata.event_type 로직에 따라 결정됩니다. principal.ip와 target.ip가 모두 있는 경우 'NETWORK_CONNECTION', principal.ip만 있는 경우 'STATUS_UPDATE', 그 외의 경우 'GENERIC_EVENT'로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.