收集 Lacework Cloud Security 記錄
支援的國家/地區:
Google SecOps
SIEM
總覽
這個剖析器會從 Lacework Cloud Security JSON 記錄中擷取欄位,並轉換為 UDM 格式。這項服務會將原始記錄欄位對應至 UDM 欄位、處理各種資料類型,並使用標記中的額外情境資訊擴充事件,最終根據主體和目標資訊的存在與否,將事件類型分類。
事前準備
請確認您已完成下列事前準備事項:
- Google Security Operations 執行個體。
- FortiCNAPP Lacework 的特殊存取權。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Lacework Logs」)。
- 選取「Webhook」做為「來源類型」。
- 選取「Lacework」做為「記錄類型」。
- 點選「下一步」。
- 選用:指定下列輸入參數的值:
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
\n。
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
- 按一下「產生密鑰」,產生驗證這個動態饋給的密鑰。
- 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
- 在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
- 按一下 [完成]。
為 Webhook 資訊提供建立 API 金鑰
前往 Google Cloud 控制台 > 憑證。
按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)。
將 API 金鑰存取權限制為 Chronicle API。
指定端點網址
- 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。
如要啟用驗證,請在自訂標頭中指定 API 金鑰和密鑰,格式如下:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET建議:請將 API 金鑰指定為標頭,而非在網址中指定。
如果 Webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:
ENDPOINT_URL?key=API_KEY&secret=SECRET更改下列內容:
ENDPOINT_URL:動態消息端點網址。API_KEY:用於向 Google SecOps 進行驗證的 API 金鑰。SECRET:您產生的密鑰,用於驗證動態消息。
為 Google SecOps 設定 Lacework Webhook
- 以管理員權限登入 Lacework FortiCNAPP 控制台。
- 依序前往「設定」>「通知」>「快訊頻道」。
- 按一下「+ 新增」。
- 選取「Webhook」。
- 點選「下一步」。
- 為管道指定專屬名稱 (例如「Google SecOps」)。
- Webhook 網址:輸入
<ENDPOINT_URL>,然後依序輸入<API_KEY>和<SECRET>。 - 按一下 [儲存]。
- 選取「快訊規則」,然後設定所需的快訊路徑詳細資料。
支援的 Lacework Cloud Security 範例記錄
代理程式或機器資訊 (主機清單)
{ "AGENT_VERSION": "6.7.6-4ce73a7b", "CREATED_TIME": "Thu, 03 Nov 2022 02:09:36 -0700", "HOSTNAME": "host-agent-1", "IP_ADDR": "10.0.0.1", "LAST_UPDATE": "Wed, 18 Oct 2023 17:59:09 -0700", "MID": 6516601498285932156, "MODE": "ebpf", "OS": "Linux", "STATUS": "ACTIVE", "TAGS": { "Account": "999999999999", "AmiId": "ami-00000000000000000", "ExternalIp": "203.0.113.10", "Hostname": "internal-host-1.zone.compute.internal", "InstanceId": "i-00000000000000000", "InternalIp": "172.16.1.10", "LwTokenShort": "DUMMYTOKENABCD123456", "Name": "proxy-DMZ-app-1", "ResourceType": "proxy-machines", "SubnetId": "subnet-00000000000000000", "VmInstanceType": "t3.small", "VmProvider": "AWS", "VpcId": "vpc-00000000000000000", "Zone": "us-west-2a", "arch": "amd64", "falconx.io/application": "proxy-machines", "falconx.io/environment": "prod", "falconx.io/project": "edge", "falconx.io/team": "edge", "os": "linux" } }檔案中繼資料或完整性
{ "CREATED_TIME": "Wed, 18 Oct 2023 17:02:01 -0700", "FILEDATA_HASH": "DUMMYHASH582C741AD91CA817B4718DEAA4E8A83C0B9D92E2", "FILE_PATH": "/usr/local/bin/secure_config", "MID": 7371220731851617371, "MTIME": "Fri, 25 Aug 2023 13:03:09 -0700", "SIZE": 8078 }主機安全漏洞評估
{ "CVE_PROPS": { "description": "DOCUMENTATION: The MITRE CVE dictionary describes this issue as: " "This CVE ID has been rejected or withdrawn by its CVE Numbering " "Authority for the following reason: This CVE ID has been rejected " "or withdrawn by its CVE Numbering Authority.", "link": "https://vendor.example.com/security/cve/CVE-2021-47472", "metadata": null }, "CVE_RISK_INFO": { "HOST_COUNT": 1249, "IMAGE_COUNT": 0, "PKG_COUNT": 0, "SEVERITY_LEVEL": 2, "score": 0.5154245281584533 }, "CVE_RISK_SCORE": 3.77, "END_TIME": "2024-09-04 07:00:00.000", "EVAL_CTX": { "collector_type": "Agent", "exception_props": [], "hostname": "vuln-host-1.example.net" }, "EVAL_GUID": "3dc61df780e3b722aa59b0ffcac85683", "FEATURE_KEY": { "name": "kernel-headers", "namespace": "centos:7", "package_active": 1, "package_path": "", "version_installed": "0:3.10.0-1160.119.1.el7.tuxcare.els2" }, "MACHINE_TAGS": { "Account": "999999999999", "AmiId": "ami-00000000000000000", "ExternalIp": "203.0.113.10", "Hostname": "ip-172-16-1-10.example-prod.aws.featurespace.net", "InternalIp": "10.0.0.1", "LwTokenShort": "DUMMYTOKENABCD123456", "VmProvider": "AWS", "VpcId": "vpc-00000000000000000", "os": "linux" }, "MID": 5746003737030963813, "PACKAGE_STATUS": "ACTIVE", "REGION": "eu-west-2", "RISK_SCORE": 10, "SEVERITY": "Low", "START_TIME": "2024-09-04 06:00:00.000", "STATUS": "Exception", "VULN_ID": "CVE-2021-47472" }雲端設定法規遵循 (稽核)
{ "ACCOUNT": { "AccountId": "999999999999", "Account_Alias": "" }, "EVAL_TYPE": "LW_SA", "ID": "lacework-global-87", "REASON": "Default security group does not restrict traffic", "RECOMMENDATION": "Ensure the default security group of every Virtual Private Cloud (VPC) restricts all traffic", "REGION": "eu-north-1", "REPORT_TIME": "2024-11-10 18:00:00.000", "RESOURCE_ID": "arn:aws:ec2:eu-west-1:999999999999:security-group/sg-00000000000000000", "SECTION": "", "SEVERITY": "High", "STATUS": "NonCompliant" }DNS 查詢或解析
{ "CREATED_TIME": "2024-11-06 05:14:44.329", "DNS_SERVER_IP": "10.0.0.53", "FQDN": "data-service-prod-1234567890.s3.eu-west-2.amazonaws.com", "HOST_IP_ADDR": "172.16.1.20", "MID": 8843985456817096491, "TTL": 5 }映像檔安全漏洞評估
{ "CVE_PROPS": null, "EVAL_CTX": { "collector_type": "Agentless", "image_info": { "digest": "sha256:52d5cb782dad7a8a03c8bd1b285bbd32bdbfa8fcc435614bb1e6ceefcf26ae1d", "id": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df", "registry": "999999999999.dkr.ecr.eu-west-1.amazonaws.com", "repo": "amazon/aws-network-policy-agent" } }, "EVAL_GUID": "3a17a74f0a65eed2bddd2d37bb02e6af", "FEATURE_KEY": { "name": "perl-threads", "namespace": "amzn:2", "version": "1.87-4.amzn2.0.2" }, "FIX_INFO": { "fix_available": 0, "fixed_version": "" }, "IMAGE_ID": "sha256:31427c44cac7ab632d541181073bbd46a964e4ed38d087d8a47f60bb66eef4df", "IMAGE_RISK_INFO": { "factors": [ "cve", "reachability" ], "factors_breakdown": { "cve_counts": { "Critical": 0, "High": 21, "Medium": 73 }, "internet_reachability": "Unknown" } }, "IMAGE_RISK_SCORE": 6.4, "PACKAGE_STATUS": "NO_AGENT_AVAILABLE", "RISK_SCORE": 6.4, "START_TIME": "2024-11-05 19:05:03.553", "STATUS": "GOOD" }網路流量或連線摘要
{ "DST_ENTITY_ID": { "hostname": "service-A.region.amazonaws.com", "ip_internal": 0, "port": 443, "protocol": "TCP" }, "DST_ENTITY_TYPE": "DnsSep", "DST_IN_BYTES": 0, "DST_OUT_BYTES": 0, "ENDPOINT_DETAILS": [ { "dst_ip_addr": "203.0.113.10", "dst_port": 443, "protocol": "TCP", "src_ip_addr": "192.168.1.10" }, { "dst_ip_addr": "198.51.100.5", "dst_port": 443, "protocol": "TCP", "src_ip_addr": "192.168.1.10" } ], "END_TIME": "2024-11-05 21:00:00.000", "NUM_CONNS": 4, "SRC_ENTITY_ID": { "mid": 2080882850610892909, "pid_hash": 744766973756676842 }, "SRC_ENTITY_TYPE": "Process", "SRC_IN_BYTES": 25028, "SRC_OUT_BYTES": 11962, "START_TIME": "2024-11-05 20:00:00.000" }包裹資訊或最新消息
{ "ARCH": "x86_64", "CREATED_TIME": "2024-11-08 01:28:30.566", "MID": 4172267319977985370, "PACKAGE_NAME": "grub2", "VERSION": "2:2.02-0.87.0.2.el7.el7.centos.14.tuxcare.els2" }容器程序活動
{ "CONTAINER_ID": "4853339865add970f72213ec5d76ff51d1308c61a7680cc23c8de20c38c0a8e1", "END_TIME": "2024-11-08 02:00:00.000", "FILE_PATH": "/app/grpc-health-probe", "MID": 3708952045169222383, "PID": 177267, "POD_NAME": "kubernetes-pod-abc", "PPID": 177257, "PROCESS_START_TIME": "2024-11-08 01:43:29.960", "START_TIME": "2024-11-08 01:00:00.000", "UID": 0, "USERNAME": "serviceuser" }一般快訊或事件 (CloudTrail)
{ "EVENT_ID": "413328", "EVENT_NAME": "Unauthorized API Call", "EVENT_TYPE": "CloudTrailDefaultAlert", "SUMMARY": " For account: 999999999999 (and 22 more) : event Unauthorized API Call from a username other " "than whitelisted ones. Replaces lacework-global-29 occurred 3772 times by user " "UDM-PRINCIPAL-ID:UDM-SERVICE-ROLE (and 167 more) ", "START_TIME": "07 Feb 2025 12:00 GMT", "EVENT_CATEGORY": "Aws", "LINK": "https://security.example.net/ui/alert/12345/details", "ACCOUNT": "UDM_ACCOUNT", "SOURCE": "CloudTrail", "subject": { "srcEvent": { "event": { "errorCode": "AccessDenied", "errorMessage": "User: arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL " "is not authorized to perform: kinesis:ListShards on resource: " "arn:aws:kinesis:us-east-1:999999999999:stream/ingestion-qa-rel-fraud-review-Stream " "because no identity-based policy allows the kinesis:ListShards action", "eventName": "ListShards", "eventSource": "kinesis.amazonaws.com", "eventTime": "2025-02-07T12:00:24Z", "recipientAccountId": "999999999999", "sourceIPAddress": "firehose.amazonaws.com", "userIdentity": { "accessKeyId": "ACCESSKEYIDDUMMY", "accountId": "999999999999", "arn": "arn:aws:sts::999999999999:assumed-role/UDM-SERVICE-ROLE-IngestionApiRole/UDM-SERVICE-PRINCIPAL", "sessionContext": { "sessionIssuer": { "accountId": "999999999999", "arn": "arn:aws:iam::999999999999:role/UDM-SERVICE-ROLE-IngestionApiRole", "principalId": "PRINCIPALIDDUMMY", "userName": "UDM-SERVICE-ROLE-IngestionApiRole" } } }, "vpcEndpointId": "vpce-00000000000000000" }, "principalId": "PRINCIPALIDDUMMY:UDM-SERVICE-PRINCIPAL", "recipientAccountId": "999999999999", "sourceIPAddress": "firehose.amazonaws.com", "userIdentityName": "UDM-SERVICE-ROLE-IngestionApiRole" } } }
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
AGENT_VERSION |
metadata.product_version |
直接對應至「AGENT_VERSION」欄位。 |
CREATED_TIME |
metadata.event_timestamp |
直接從 CREATED_TIME 欄位對應,並轉換為時間戳記。 |
FILEDATA_HASH |
target.file.sha256 |
直接對應至「FILEDATA_HASH」欄位。 |
FILE_PATH |
target.file.full_path |
直接對應至「FILE_PATH」欄位。 |
IP_ADDR |
principal.ip |
直接對應至「IP_ADDR」欄位。 |
OS |
target.platform |
從「OS」欄位對應。Logic 會將各種 OS 字串 (Linux、Windows、Mac) 轉換為 UDM 列舉值 (LINUX、WINDOWS、MAC)。如果找不到相符項目,預設值為 UNKNOWN_PLATFORM。 |
STATUS |
additional.fields[].key:"STATUS", value.string_value |
直接從 STATUS 欄位對應為額外欄位。 |
TAGS.Account |
metadata.product_deployment_id |
直接對應至「TAGS.Account」欄位。 |
TAGS.AmiId |
additional.fields[].key:"AmiId", value.string_value |
直接從 TAGS.AmiId 欄位對應為額外欄位。 |
TAGS.ExternalIp |
target.ip |
直接對應至「TAGS.ExternalIp」欄位。 |
TAGS.Hostname |
principal.hostname |
直接對應至「TAGS.Hostname」欄位。 |
TAGS.InstanceId |
target.asset_id |
直接從 TAGS.InstanceId 欄位對應,並加上「裝置例項 ID:」前置字串。 |
TAGS.LwTokenShort |
additional.fields[].key:"LwTokenShort", value.string_value |
直接從 TAGS.LwTokenShort 欄位對應為額外欄位。 |
TAGS.MID |
additional.fields[].key:"MID", value.string_value |
直接從 MID 欄位對應為額外欄位。 |
TAGS.MODE |
additional.fields[].key:"MODE", value.string_value |
直接從 MODE 欄位對應為額外欄位。 |
TAGS.Name |
additional.fields[].key:"Name", value.string_value |
直接從 TAGS.Name 欄位對應為額外欄位。 |
TAGS.QSConfigName-vfzg0 |
additional.fields[].key:"QSConfigName", value.string_value |
直接從 TAGS.QSConfigName-vfzg0 欄位對應為額外欄位。 |
TAGS.ResourceType |
target.resource.resource_subtype |
直接對應至「TAGS.ResourceType」欄位。 |
TAGS.SubnetId |
target.resource.attribute.labels[].key:"Subnet Id", value |
直接從 TAGS.SubnetId 欄位對應為 target.resource.attribute 中的標籤。 |
TAGS.VmInstanceType |
target.resource.attribute.labels[].key:"VmInstanceType", value |
直接從 TAGS.VmInstanceType 欄位對應為 target.resource.attribute 中的標籤。 |
TAGS.VmProvider |
target.resource.attribute.labels[].key:"VmProvider", value |
直接從 TAGS.VmProvider 欄位對應為 target.resource.attribute 中的標籤。 |
TAGS.VpcId |
target.resource.product_object_id |
直接對應至「TAGS.VpcId」欄位。 |
TAGS.Zone |
target.cloud.availability_zone |
直接對應至「TAGS.Zone」欄位。 |
TAGS.alpha.eksctl.io/nodegroup-name |
additional.fields[].key:"eksctl_nodegroup_name", value.string_value |
直接從 TAGS.alpha.eksctl.io/nodegroup-name 欄位對應為額外欄位。 |
TAGS.alpha.eksctl.io/nodegroup-type |
additional.fields[].key:"eksctl_nodegroup_type", value.string_value |
直接從 TAGS.alpha.eksctl.io/nodegroup-type 欄位對應為額外欄位。 |
TAGS.arch |
principal.platform_version |
直接對應至「TAGS.arch」欄位。 |
TAGS.aws:autoscaling:groupName |
additional.fields[].key:"autoscaling_groupName", value.string_value |
直接從 TAGS.aws:autoscaling:groupName 欄位對應為額外欄位。 |
TAGS.aws:ec2:fleet-id |
additional.fields[].key:"ec2_fleetid", value.string_value |
直接從 TAGS.aws:ec2:fleet-id 欄位對應為額外欄位。 |
TAGS.aws:ec2launchtemplate:id |
additional.fields[].key:"ec2launchtemplate_id", value.string_value |
直接從 TAGS.aws:ec2launchtemplate:id 欄位對應為額外欄位。 |
TAGS.aws:ec2launchtemplate:version |
additional.fields[].key:"ec2launchtemplate_ver", value.string_value |
直接從 TAGS.aws:ec2launchtemplate:version 欄位對應為額外欄位。 |
TAGS.aws:eks:cluster-name |
additional.fields[].key:"eks_cluster_name", value.string_value |
直接從 TAGS.aws:eks:cluster-name 欄位對應為額外欄位。 |
TAGS.enableCrowdStrike |
additional.fields[].key:"enableCrowdStrike", value.string_value |
直接從 TAGS.enableCrowdStrike 欄位對應為額外欄位。 |
TAGS.falconx.io/application |
additional.fields[].key:"io/application", value.string_value |
直接從 TAGS.falconx.io/application 欄位對應為額外欄位。 |
TAGS.falconx.io/environment |
additional.fields[].key:"io/environment", value.string_value |
直接從 TAGS.falconx.io/environment 欄位對應為額外欄位。 |
TAGS.falconx.io/managedBy |
additional.fields[].key:"io/managedBy", value.string_value |
直接從 TAGS.falconx.io/managedBy 欄位對應為額外欄位。 |
TAGS.falconx.io/project |
additional.fields[].key:"io/project", value.string_value |
直接從 TAGS.falconx.io/project 欄位對應為額外欄位。 |
TAGS.falconx.io/proxy-type |
additional.fields[].key:"io/proxy_type", value.string_value |
直接從 TAGS.falconx.io/proxy-type 欄位對應為額外欄位。 |
TAGS.falconx.io/service |
additional.fields[].key:"io/service", value.string_value |
直接從 TAGS.falconx.io/service 欄位對應為額外欄位。 |
TAGS.falconx.io/team |
additional.fields[].key:"io/team", value.string_value |
直接從 TAGS.falconx.io/team 欄位對應為額外欄位。 |
TAGS.k8s.io/cluster-autoscaler/enabled |
additional.fields[].key:"k8s_autoscaler_enabled", value.string_value |
直接從 TAGS.k8s.io/cluster-autoscaler/enabled 欄位對應為額外欄位。 |
TAGS.k8s.io/cluster-autoscaler/falcon |
additional.fields[].key:"k8s_cluster_autoscaler", value.string_value |
直接從 TAGS.k8s.io/cluster-autoscaler/falcon 欄位對應為額外欄位。 |
TAGS.kubernetes.io/cluster/falcon |
additional.fields[].key:"kubernetes_io_cluster", value.string_value |
直接從 TAGS.kubernetes.io/cluster/falcon 欄位對應為額外欄位。 |
TAGS.lw_KubernetesCluster |
additional.fields[].key:"lw_KubernetesCluster", value.string_value |
直接從 TAGS.lw_KubernetesCluster 欄位對應為額外欄位。 |
LAST_UPDATE |
additional.fields[].key:"LAST_UPDATE", value.string_value |
直接從 LAST_UPDATE 欄位對應為額外欄位。硬式編碼為「LACEWORK」。硬式編碼為「Lacework Cloud Security」。 |
metadata.event_type |
metadata.event_type |
由邏輯決定。如果 principal.ip 和 target.ip 都存在,則設為「NETWORK_CONNECTION」;如果只有 principal.ip 存在,則設為「STATUS_UPDATE」;否則設為「GENERIC_EVENT」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。