Raccogli i log di Sysdig

Supportato in:

Questo parser estrae i dati degli eventi di sicurezza dai log JSON di Sysdig, trasformando e mappando i campi dei log non elaborati nel formato UDM di Google Security Operations. Gestisce vari campi, tra cui metadati, informazioni principali o di destinazione, dettagli dei risultati di sicurezza e contesto correlato a Kubernetes, arricchendo i dati per l'analisi in Google SecOps. Il parser esegue anche conversioni dei tipi di dati, gestione degli errori e logica condizionale in base ai valori dei campi per garantire una rappresentazione UDM accurata e completa.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso privilegiato a Sysdig Secure.

Crea una chiave API per il feed webhook

  1. Vai a Google Cloud console > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso alla chiave API all'API Google Security Operations.

Opzione 1

Configura i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Sysdig.
  5. Seleziona Webhook come Tipo di fonte.
  6. Seleziona Sysdig come Tipo di log.
  7. Fai clic su Avanti.

  8. (Facoltativo) Specifica i valori per i seguenti parametri di input:

    • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe dei log, ad esempio \n.

  9. Fai clic su Avanti.

  10. Esamina la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.

  12. Copia e salva la chiave segreta. Non potrai visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.

  13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.

  14. Fai clic su Fine.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Abilita l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Suggerimento: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione in Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook in Sysdig

  1. Accedi a Sysdig Secure con privilegi di amministratore.
  2. Vai a Profilo > Impostazioni > Inoltro eventi.
  3. Fai clic su + Aggiungi integrazione e seleziona Webhook dal menu a discesa.

  4. Specifica i valori per i seguenti parametri di input:

    • Nome integrazione: fornisci un nome descrittivo per il webhook (ad esempio, Webhook di Google SecOps).
    • Endpoint: inserisci il <ENDPOINT_URL> del webhook, seguito da <API_KEY e <SECRET>.

    • Dati da inviare: seleziona dal menu a discesa i tipi di dati di Sysdig da inoltrare.

    • Testa l'integrazione, quindi attiva l'opzione Attivata.

    • Fai clic su Salva.

Opzione 2

Inoltra i dati direttamente a Google SecOps

  1. Accedi a Sysdig Secure utilizzando le credenziali di amministratore.
  2. Vai a Impostazioni > Inoltro eventi.
  3. Fai clic su + Aggiungi integrazione e seleziona Google Chronicle dal menu a discesa.
  4. Specifica i valori per i seguenti parametri di input:
    • Nome integrazione: fornisci un nome descrittivo per l'integrazione (ad esempio, Integrazione di Google SecOps).
    • ID cliente: l'ID cliente Google associato al tuo Google Cloud account. In Google SecOps, lo trovi in Impostazioni > Profilo.
    • Spazio dei nomi: (facoltativo) utilizzalo come tag per identificare il dominio di dati appropriato per l'indicizzazione e l'arricchimento.
    • Credenziali JSON: carica le credenziali JSON di Google SecOps.
    • Regione: seleziona la tua regione, ad esempio Stati Uniti, Europa o Asia.
    • Dati da inviare: seleziona dal menu a discesa i tipi di dati di Sysdig da inoltrare.
    • Testa l'integrazione, quindi attiva l'opzione Attivata.
    • Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
agentId read_only_udm.metadata.product_deployment_id Il valore di agentId del log non elaborato viene mappato direttamente a questo campo UDM.
category read_only_udm.security_result.category_details Il valore di category del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.container.id read_only_udm.target.asset.asset_id Il valore di content.fields.container.id del log non elaborato viene preceduto da "container_id:" e mappato a questo campo UDM. Utilizzato se containerId è vuoto.
content.fields.container.image.repository read_only_udm.target.file.full_path Il valore di content.fields.container.image.repository del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.container.image.tag read_only_udm.metadata.ingestion_labels.value dove la chiave è tag Il valore di content.fields.container.image.tag del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.evt.res read_only_udm.metadata.ingestion_labels.value dove la chiave è evt_res Il valore di content.fields.evt.res del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.evt.type read_only_udm.metadata.event_type Il valore di content.fields.evt.type del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.falco.rule read_only_udm.security_result.rule_name Il valore di content.fields.falco.rule del log non elaborato viene mappato direttamente a questo campo UDM. Utilizzato se content.ruleName è vuoto.
content.fields.group.gid read_only_udm.target.group.product_object_id Il valore di content.fields.group.gid del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.group.name read_only_udm.target.group.group_display_name Il valore di content.fields.group.name del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.proc.cmdline read_only_udm.target.process.command_line Il valore di content.fields.proc.cmdline del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.proc.pcmdline read_only_udm.target.process.parent_process.command_line Il valore di content.fields.proc.pcmdline del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.proc.pid read_only_udm.target.process.pid Il valore di content.fields.proc.pid del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.proc.ppid read_only_udm.target.process.parent_process.pid Il valore di content.fields.proc.ppid del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.proc.sid read_only_udm.metadata.ingestion_labels.value dove la chiave è sid Il valore di content.fields.proc.sid del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.user.loginname read_only_udm.principal.user.user_display_name Il valore di content.fields.user.loginname del log non elaborato viene mappato direttamente a questo campo UDM.
content.fields.user.uid read_only_udm.principal.user.userid Il valore di content.fields.user.uid del log non elaborato viene mappato direttamente a questo campo UDM.
content.output read_only_udm.additional.fields.value.string_value dove la chiave è content_output Il valore di content.output del log non elaborato viene mappato direttamente a questo campo UDM.
content.policyId read_only_udm.security_result.rule_id Il valore di content.policyId del log non elaborato viene mappato direttamente a questo campo UDM.
content.policyOrigin read_only_udm.additional.fields.value.string_value dove la chiave è content_policyOrigin Il valore di content.policyOrigin del log non elaborato viene mappato direttamente a questo campo UDM.
content.policyVersion read_only_udm.additional.fields.value.string_value dove la chiave è content_policyVersion Il valore di content.policyVersion del log non elaborato viene mappato direttamente a questo campo UDM.
content.ruleName read_only_udm.security_result.rule_name Il valore di content.ruleName del log non elaborato viene mappato direttamente a questo campo UDM.
content.ruleTags read_only_udm.security_result.rule_labels I valori dell'array content.ruleTags del log non elaborato vengono mappati a questo campo UDM, con chiavi generate dinamicamente come "ruletag_index".
content.ruleType read_only_udm.additional.fields.value.string_value dove la chiave è content_ruleType Il valore di content.ruleType del log non elaborato viene mappato direttamente a questo campo UDM.
containerId read_only_udm.target.asset.asset_id Il valore di containerId del log non elaborato viene preceduto da "container_id:" e mappato a questo campo UDM.
description read_only_udm.metadata.description Il valore di description del log non elaborato viene mappato direttamente a questo campo UDM.
id read_only_udm.metadata.product_log_id Il valore di id del log non elaborato viene mappato direttamente a questo campo UDM.
labels.container.label.io.kubernetes.container.name read_only_udm.additional.fields.value.string_value dove la chiave è container_name Il valore di labels.container.label.io.kubernetes.container.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.container.label.io.kubernetes.pod.name read_only_udm.additional.fields.value.string_value dove la chiave è pod_name Il valore di labels.container.label.io.kubernetes.pod.name del log non elaborato viene mappato direttamente a questo campo UDM. Utilizzato se labels.kubernetes.pod.name è vuoto.
labels.container.label.io.kubernetes.pod.namespace read_only_udm.principal.namespace Il valore di labels.container.label.io.kubernetes.pod.namespace del log non elaborato viene mappato direttamente a questo campo UDM. Utilizzato se labels.kubernetes.namespace.name è vuoto.
labels.aws.instanceId read_only_udm.target.resource.product_object_id Il valore di labels.aws.instanceId del log non elaborato viene mappato direttamente a questo campo UDM.
labels.aws.region read_only_udm.target.resource.attribute.cloud.availability_zone Il valore di labels.aws.region del log non elaborato viene mappato direttamente a questo campo UDM.
labels.host.hostName read_only_udm.principal.ip OR read_only_udm.principal.hostname Se il valore contiene "ip", viene analizzato come indirizzo IP e mappato a principal.ip. In caso contrario, viene mappato a principal.hostname.
labels.host.mac read_only_udm.principal.mac Il valore di labels.host.mac del log non elaborato viene mappato direttamente a questo campo UDM. Utilizzato se machineId è vuoto.
labels.kubernetes.cluster.name read_only_udm.additional.fields.value.string_value dove la chiave è kubernetes_cluster_name Il valore di labels.kubernetes.cluster.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.kubernetes.deployment.name read_only_udm.additional.fields.value.string_value dove la chiave è kubernetes_deployment_name Il valore di labels.kubernetes.deployment.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.kubernetes.namespace.name read_only_udm.principal.namespace Il valore di labels.kubernetes.namespace.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.kubernetes.node.name read_only_udm.additional.fields.value.string_value dove la chiave è kubernetes_node_name Il valore di labels.kubernetes.node.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.kubernetes.pod.name read_only_udm.additional.fields.value.string_value dove la chiave è pod_name Il valore di labels.kubernetes.pod.name del log non elaborato viene mappato direttamente a questo campo UDM.
labels.kubernetes.service.name read_only_udm.additional.fields.value.string_value dove la chiave è kubernetes_service_name Il valore di labels.kubernetes.service.name del log non elaborato viene mappato direttamente a questo campo UDM.
machineId read_only_udm.principal.mac Il valore di machineId del log non elaborato viene mappato direttamente a questo campo UDM.
name read_only_udm.security_result.summary Il valore di name del log non elaborato viene mappato direttamente a questo campo UDM.
severity read_only_udm.security_result.severity Il valore di severity del log non elaborato viene mappato a un valore stringa in base a questi intervalli: <4 = HIGH, >3 e <6 = MEDIUM, 6 = LOW, 7 = INFORMATIONAL.
source read_only_udm.security_result.description Il valore di source del log non elaborato viene mappato direttamente a questo campo UDM.
timestampRFC3339Nano read_only_udm.metadata.event_timestamp Il valore di timestampRFC3339Nano del log non elaborato viene analizzato come timestamp e mappato a questo campo UDM.
type read_only_udm.metadata.product_event_type Il valore di type del log non elaborato viene mappato direttamente a questo campo UDM.
(Funzione logica del parser) read_only_udm.metadata.product_name Codificato come "SYSDIG".
(Funzione logica del parser) read_only_udm.metadata.vendor_name Codificato come "SYSDIG".
(Funzione logica del parser) read_only_udm.metadata.event_type Impostato su "PROCESS_UNCATEGORIZED" per impostazione predefinita o "GENERIC_EVENT" se labels.host.hostName è vuoto.
(Funzione logica del parser) read_only_udm.metadata.log_type Codificato come "SYSDIG".
(Funzione logica del parser) read_only_udm.target.resource.resource_type Impostato su "CLOUD_PROJECT" se esiste labels.aws.instanceId.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.