收集 Lacework Cloud Security 日志
支持的平台:
Google SecOps
SIEM
概览
此解析器从 Lacework Cloud Security JSON 日志中提取字段,并将其转换为 UDM 格式。它将原始日志字段映射到 UDM 字段,处理各种数据类型,并通过代码中的其他上下文信息丰富事件,最终根据正文和目标信息的存在情况对事件类型进行分类。
准备工作
确保您满足以下前提条件:
- Google Security Operations 实例。
- 对 FortiCNAPP Lacework 的特权访问权限。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Lacework Logs)。
- 选择 Webhook 作为来源类型。
- 选择 Lacework 作为日志类型。
- 点击下一步。
- 可选:为以下输入参数指定值:
- 拆分分隔符:用于分隔日志行的分隔符,例如
\n。
- 拆分分隔符:用于分隔日志行的分隔符,例如
- 点击下一步。
- 在最终确定界面中检查 Feed 配置,然后点击提交。
- 点击生成密钥,生成用于对此 Feed 进行身份验证的密钥。
- 复制并存储密钥。您将无法再次查看此密钥。如有需要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥失效。
- 在详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
- 点击完成。
为 Webhook Feed 创建 API 密钥
依次前往 Google Cloud 控制台 > 凭据。
点击创建凭据,然后选择 API 密钥。
将 API 密钥访问权限限制为 Chronicle API。
指定端点网址
- 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。
通过在自定义标头中指定 API 密钥和密钥来启用身份验证,格式如下:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET建议:将 API 密钥指定为标头,而不是在网址中指定。
如果您的 Webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥:
ENDPOINT_URL?key=API_KEY&secret=SECRET替换以下内容:
ENDPOINT_URL:Feed 端点网址。API_KEY:用于向 Google SecOps 进行身份验证的 API 密钥。SECRET:您生成的用于验证 Feed 的密钥。
为 Google SecOps 配置 Lacework Webhook
- 以管理员权限登录 Lacework FortiCNAPP 控制台。
- 依次前往设置 > 通知 > 提醒渠道。
- 点击 + 添加新对比项。
- 选择 Webhook。
- 点击下一步。
- 为渠道指定一个唯一的名称(例如 Google SecOps)。
- Webhook 网址:输入
<ENDPOINT_URL>,然后输入<API_KEY>和<SECRET>。 - 点击保存。
- 选择提醒规则,然后配置所需的提醒路由详细信息。
支持的 Lacework Cloud Security 示例日志
代理或机器信息(主机清单)
{ "AGENT_VERSION": "6.7.6-4ce73a7b", "CREATED_TIME": "Thu, 03 Nov 2022 02:09:36 -0700", "HOSTNAME": "host-agent-1", "IP_ADDR": "10.0.0.1", "LAST_UPDATE": "Wed, 18 Oct 2023 17:59:09 -0700", "MID": 6516601498285932156, "MODE": "ebpf", "OS": "Linux", "STATUS": "ACTIVE", "TAGS": { "Account": "999999999999", "AmiId": "ami-00000000000000000", "ExternalIp": "203.0.113.10", "Hostname": "internal-host-1.zone.compute.internal", "InstanceId": "i-00000000000000000", "InternalIp": "172.16.1.10", "LwTokenShort": "DUMMYTOKENABCD123456", "Name": "proxy-DMZ-app-1", "ResourceType": "proxy-machines", "SubnetId": "subnet-00000000000000000", "VmInstanceType": "t3.small", "VmProvider": "AWS", "VpcId": "vpc-00000000000000000", "Zone": "us-west-2a", "arch": "amd64", "falconx.io/application": "proxy-machines", "falconx.io/environment": "prod", "falconx.io/project": "edge", "falconx.io/team": "edge", "os": "linux" } }文件元数据或完整性
{ "CREATED_TIME": "Wed, 18 Oct 2023 17:02:01 -0700", "FILEDATA_HASH": "DUMMYHASH582C741AD91CA817B4718DEAA4E8A83C0B9D92E2", "FILE_PATH": "/usr/local/bin/secure_config", "MID": 7371220731851617371, "MTIME": "Fri, 25 Aug 2023 13:03:09 -0700", "SIZE": 8078 }主机漏洞评估
{ "CVE_PROPS": { "description": "DOCUMENTATION: The MITRE CVE dictionary describes this issue as: " "This CVE ID has been rejected or withdrawn by its CVE Numbering " "Authority for the following reason: This CVE ID has been rejected " "or withdrawn by its CVE Numbering Authority.", "link": "https://vendor.example.com/security/cve/CVE-2021-47472", "metadata": null }, "CVE_RISK_INFO": { "HOST_COUNT": 1249, "IMAGE_COUNT": 0, "PKG_COUNT": 0, "SEVERITY_LEVEL": 2, "score": 0.5154245281584533 }, "CVE_RISK_SCORE": 3.77, "END_TIME": "2024-09-04 07:00:00.000", "EVAL_CTX": { "collector_type": "Agent", "exception_props": [], "hostname": "vuln-host-1.example.net" }, "EVAL_GUID": "3dc61df780e3b722aa59b0ffcac85683", "FEATURE_KEY": { "name": "kernel-headers", "namespace": "centos:7", "package_active": 1, "package_path": "", "version_installed": "0:3.10.0-1160.119.1.el7.tuxcare.els2" }, "MACHINE_TAGS": { "Account": "999999999999", "AmiId": "ami-00000000000000000", "ExternalIp": "203.0.113.10", "Hostname": "ip-172-16-1-10.example-prod.aws.featurespace.net", "InternalIp": "10.0.0.1", "LwTokenShort": "DUMMYTOKENABCD123456", "VmProvider": "AWS", "VpcId": "vpc-00000000000000000", "os": "linux" }, "MID": 5746003737030963813, "PACKAGE_STATUS": "ACTIVE", "REGION": "eu-west-2", "RISK_SCORE": 10, "SEVERITY": "Low", "START_TIME": "2024-09-04 06:00:00.000", "STATUS": "Exception", "VULN_ID": "CVE-2021-47472" }云配置合规性(审核)
{ "ACCOUNT": { "AccountId": "999999999999", "Account_Alias": "" }, "EVAL_TYPE": "LW_SA", "ID": "lacework-global-87", "REASON": "Default security group does not restrict traffic", "RECOMMENDATION": "Ensure the default security group of every Virtual Private Cloud (VPC) restricts all traffic", "REGION": "eu-north-1", "REPORT_TIME": "2024-11-10 18:00:00.000", "RESOURCE_ID": "arn:aws:ec2:eu-west-1:999999999999:security-group/sg-00000000000000000", "SECTION": "", "SEVERITY": "High", "STATUS": "NonCompliant" }DNS 查询或解析
{ "CREATED_TIME": "2024-11-06 05:14:44.329", "DNS_SERVER_IP": "10.0.0.53", "FQDN": "data-service-prod-1234567890.s3.eu-west-2.amazonaws.com", "HOST_IP_ADDR": "172.16.1.20", "MID": 8843985456817096491, "TTL": 5 }映像漏洞评估
{ "CVE_PROPS": null, "EVAL_CTX": { "collector_type": "Agentless", "image_info": { "digest": "sha256:52d5cb782dad7a8a03c8bd1b285bbd32bdbfa8fcc435614bb1e6ceefcf26ae1d", "id": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df", "registry": "999999999999.dkr.ecr.eu-west-1.amazonaws.com", "repo": "amazon/aws-network-policy-agent" } }, "EVAL_GUID": "3a17a74f0a65eed2bddd2d37bb02e6af", "FEATURE_KEY": { "name": "perl-threads", "namespace": "amzn:2", "version": "1.87-4.amzn2.0.2" }, "FIX_INFO": { "fix_available": 0, "fixed_version": "" }, "IMAGE_ID": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df", "IMAGE_RISK_INFO": { "factors": [ "cve", "reachability" ], "factors_breakdown": { "cve_counts": { "Critical": 0, "High": 21, "Medium": 73 }, "internet_reachability": "Unknown" } }, "IMAGE_RISK_SCORE": 6.4, "PACKAGE_STATUS": "NO_AGENT_AVAILABLE", "RISK_SCORE": 6.4, "START_TIME": "2024-11-05 19:05:03.553", "STATUS": "GOOD" }网络流量或连接摘要
{ "DST_ENTITY_ID": { "hostname": "service-A.region.amazonaws.com", "ip_internal": 0, "port": 443, "protocol": "TCP" }, "DST_ENTITY_TYPE": "DnsSep", "DST_IN_BYTES": 0, "DST_OUT_BYTES": 0, "ENDPOINT_DETAILS": [ { "dst_ip_addr": "203.0.113.10", "dst_port": 443, "protocol": "TCP", "src_ip_addr": "192.168.1.10" }, { "dst_ip_addr": "198.51.100.5", "dst_port": 443, "protocol": "TCP", "src_ip_addr": "192.168.1.10" } ], "END_TIME": "2024-11-05 21:00:00.000", "NUM_CONNS": 4, "SRC_ENTITY_ID": { "mid": 2080882850610892909, "pid_hash": 744766973756676842 }, "SRC_ENTITY_TYPE": "Process", "SRC_IN_BYTES": 25028, "SRC_OUT_BYTES": 11962, "START_TIME": "2024-11-05 20:00:00.000" }包裹信息或更新
{ "ARCH": "x86_64", "CREATED_TIME": "2024-11-08 01:28:30.566", "MID": 4172267319977985370, "PACKAGE_NAME": "grub2", "VERSION": "2:2.02-0.87.0.2.el7.el7.centos.14.tuxcare.els2" }容器进程活动
{ "CONTAINER_ID": "4853339865add970f72213ec5d76ff51d1308c61a7680cc23c8de20c38c0a8e1", "END_TIME": "2024-11-08 02:00:00.000", "FILE_PATH": "/app/grpc-health-probe", "MID": 3708952045169222383, "PID": 177267, "POD_NAME": "kubernetes-pod-abc", "PPID": 177257, "PROCESS_START_TIME": "2024-11-08 01:43:29.960", "START_TIME": "2024-11-08 01:00:00.000", "UID": 0, "USERNAME": "serviceuser" }一般提醒或事件 (CloudTrail)
{ "EVENT_ID": "413328", "EVENT_NAME": "Unauthorized API Call", "EVENT_TYPE": "CloudTrailDefaultAlert", "SUMMARY": " For account: 999999999999 (and 22 more) : event Unauthorized API Call from a username other " "than whitelisted ones. Replaces lacework-global-29 occurred 3772 times by user " "UDM-PRINCIPAL-ID:UDM-SERVICE-ROLE (and 167 more) ", "START_TIME": "07 Feb 2025 12:00 GMT", "EVENT_CATEGORY": "Aws", "LINK": "https://security.example.net/ui/alert/12345/details", "ACCOUNT": "UDM_ACCOUNT", "SOURCE": "CloudTrail", "subject": { "srcEvent": { "event": { "errorCode": "AccessDenied", "errorMessage": "User: arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL " "is not authorized to perform: kinesis:ListShards on resource: " "arn:aws:kinesis:us-east-1:999999999999:stream/ingestion-qa-rel-fraud-review-Stream " "because no identity-based policy allows the kinesis:ListShards action", "eventName": "ListShards", "eventSource": "kinesis.amazonaws.com", "eventTime": "2025-02-07T12:00:24Z", "recipientAccountId": "999999999999", "sourceIPAddress": "firehose.amazonaws.com", "userIdentity": { "accessKeyId": "ACCESSKEYIDDUMMY", "accountId": "999999999999", "arn": "arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL", "sessionContext": { "sessionIssuer": { "accountId": "999999999999", "arn": "arn:aws:iam::999999999999:role/UDM-SERVICE-ROLE-IngestionApiRole", "principalId": "PRINCIPALIDDUMMY", "userName": "UDM-SERVICE-ROLE-IngestionApiRole" } } }, "vpcEndpointId": "vpce-00000000000000000" }, "principalId": "PRINCIPALIDDUMMY:UDM-SERVICE-PRINCIPAL", "recipientAccountId": "999999999999", "sourceIPAddress": "firehose.amazonaws.com", "userIdentityName": "UDM-SERVICE-ROLE-IngestionApiRole" } } }
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
AGENT_VERSION |
metadata.product_version |
直接从 AGENT_VERSION 字段映射。 |
CREATED_TIME |
metadata.event_timestamp |
直接从 CREATED_TIME 字段映射,并转换为时间戳。 |
FILEDATA_HASH |
target.file.sha256 |
直接从 FILEDATA_HASH 字段映射。 |
FILE_PATH |
target.file.full_path |
直接从 FILE_PATH 字段映射。 |
IP_ADDR |
principal.ip |
直接从 IP_ADDR 字段映射。 |
OS |
target.platform |
从 OS 字段映射。逻辑将各种操作系统字符串(Linux、Windows、Mac)转换为 UDM 枚举值(LINUX、WINDOWS、MAC)。如果未找到匹配项,则默认为 UNKNOWN_PLATFORM。 |
STATUS |
additional.fields[].key:"STATUS", value.string_value |
直接从 STATUS 字段映射为附加字段。 |
TAGS.Account |
metadata.product_deployment_id |
直接从 TAGS.Account 字段映射。 |
TAGS.AmiId |
additional.fields[].key:"AmiId", value.string_value |
直接从 TAGS.AmiId 字段映射为附加字段。 |
TAGS.ExternalIp |
target.ip |
直接从 TAGS.ExternalIp 字段映射。 |
TAGS.Hostname |
principal.hostname |
直接从 TAGS.Hostname 字段映射。 |
TAGS.InstanceId |
target.asset_id |
直接从 TAGS.InstanceId 字段映射,并以“设备实例 ID:”为前缀。 |
TAGS.LwTokenShort |
additional.fields[].key:"LwTokenShort", value.string_value |
直接从 TAGS.LwTokenShort 字段映射为附加字段。 |
TAGS.MID |
additional.fields[].key:"MID", value.string_value |
直接从 MID 字段映射为附加字段。 |
TAGS.MODE |
additional.fields[].key:"MODE", value.string_value |
直接从 MODE 字段映射为附加字段。 |
TAGS.Name |
additional.fields[].key:"Name", value.string_value |
直接从 TAGS.Name 字段映射为附加字段。 |
TAGS.QSConfigName-vfzg0 |
additional.fields[].key:"QSConfigName", value.string_value |
直接从 TAGS.QSConfigName-vfzg0 字段映射为附加字段。 |
TAGS.ResourceType |
target.resource.resource_subtype |
直接从 TAGS.ResourceType 字段映射。 |
TAGS.SubnetId |
target.resource.attribute.labels[].key:"Subnet Id", value |
直接从 TAGS.SubnetId 字段映射为 target.resource.attribute 中的标签。 |
TAGS.VmInstanceType |
target.resource.attribute.labels[].key:"VmInstanceType", value |
直接从 TAGS.VmInstanceType 字段映射为 target.resource.attribute 中的标签。 |
TAGS.VmProvider |
target.resource.attribute.labels[].key:"VmProvider", value |
直接从 TAGS.VmProvider 字段映射为 target.resource.attribute 中的标签。 |
TAGS.VpcId |
target.resource.product_object_id |
直接从 TAGS.VpcId 字段映射。 |
TAGS.Zone |
target.cloud.availability_zone |
直接从 TAGS.Zone 字段映射。 |
TAGS.alpha.eksctl.io/nodegroup-name |
additional.fields[].key:"eksctl_nodegroup_name", value.string_value |
直接从 TAGS.alpha.eksctl.io/nodegroup-name 字段映射为附加字段。 |
TAGS.alpha.eksctl.io/nodegroup-type |
additional.fields[].key:"eksctl_nodegroup_type", value.string_value |
直接从 TAGS.alpha.eksctl.io/nodegroup-type 字段映射为附加字段。 |
TAGS.arch |
principal.platform_version |
直接从 TAGS.arch 字段映射。 |
TAGS.aws:autoscaling:groupName |
additional.fields[].key:"autoscaling_groupName", value.string_value |
直接从 TAGS.aws:autoscaling:groupName 字段映射为附加字段。 |
TAGS.aws:ec2:fleet-id |
additional.fields[].key:"ec2_fleetid", value.string_value |
直接从 TAGS.aws:ec2:fleet-id 字段映射为附加字段。 |
TAGS.aws:ec2launchtemplate:id |
additional.fields[].key:"ec2launchtemplate_id", value.string_value |
直接从 TAGS.aws:ec2launchtemplate:id 字段映射为附加字段。 |
TAGS.aws:ec2launchtemplate:version |
additional.fields[].key:"ec2launchtemplate_ver", value.string_value |
直接从 TAGS.aws:ec2launchtemplate:version 字段映射为附加字段。 |
TAGS.aws:eks:cluster-name |
additional.fields[].key:"eks_cluster_name", value.string_value |
直接从 TAGS.aws:eks:cluster-name 字段映射为附加字段。 |
TAGS.enableCrowdStrike |
additional.fields[].key:"enableCrowdStrike", value.string_value |
直接从 TAGS.enableCrowdStrike 字段映射为附加字段。 |
TAGS.falconx.io/application |
additional.fields[].key:"io/application", value.string_value |
直接从 TAGS.falconx.io/application 字段映射为附加字段。 |
TAGS.falconx.io/environment |
additional.fields[].key:"io/environment", value.string_value |
直接从 TAGS.falconx.io/environment 字段映射为附加字段。 |
TAGS.falconx.io/managedBy |
additional.fields[].key:"io/managedBy", value.string_value |
直接从 TAGS.falconx.io/managedBy 字段映射为附加字段。 |
TAGS.falconx.io/project |
additional.fields[].key:"io/project", value.string_value |
直接从 TAGS.falconx.io/project 字段映射为附加字段。 |
TAGS.falconx.io/proxy-type |
additional.fields[].key:"io/proxy_type", value.string_value |
直接从 TAGS.falconx.io/proxy-type 字段映射为附加字段。 |
TAGS.falconx.io/service |
additional.fields[].key:"io/service", value.string_value |
直接从 TAGS.falconx.io/service 字段映射为附加字段。 |
TAGS.falconx.io/team |
additional.fields[].key:"io/team", value.string_value |
直接从 TAGS.falconx.io/team 字段映射为附加字段。 |
TAGS.k8s.io/cluster-autoscaler/enabled |
additional.fields[].key:"k8s_autoscaler_enabled", value.string_value |
直接从 TAGS.k8s.io/cluster-autoscaler/enabled 字段映射为附加字段。 |
TAGS.k8s.io/cluster-autoscaler/falcon |
additional.fields[].key:"k8s_cluster_autoscaler", value.string_value |
直接从 TAGS.k8s.io/cluster-autoscaler/falcon 字段映射为附加字段。 |
TAGS.kubernetes.io/cluster/falcon |
additional.fields[].key:"kubernetes_io_cluster", value.string_value |
直接从 TAGS.kubernetes.io/cluster/falcon 字段映射为附加字段。 |
TAGS.lw_KubernetesCluster |
additional.fields[].key:"lw_KubernetesCluster", value.string_value |
直接从 TAGS.lw_KubernetesCluster 字段映射为附加字段。 |
LAST_UPDATE |
additional.fields[].key:"LAST_UPDATE", value.string_value |
直接从 LAST_UPDATE 字段映射为附加字段。硬编码为“LACEWORK”。硬编码为“Lacework Cloud Security”。 |
metadata.event_type |
metadata.event_type |
由逻辑确定。如果 principal.ip 和 target.ip 都存在,则设置为“NETWORK_CONNECTION”;如果只有 principal.ip 存在,则设置为“STATUS_UPDATE”;否则设置为“GENERIC_EVENT”。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。