Uptycs EDR のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Amazon S3 を使用して Uptycs EDR ログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工の JSON ログを統合データモデル(UDM)に変換します。まず、JSON からフィールドを抽出し、データのクリーニングと拡充を行い、関連情報を対応する UDM フィールドにマッピングします。さまざまなデータ型とエッジケースを処理して、UDM スキーマ内で正確で一貫性のある表現を確保します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Uptycs への特権アクセス
- AWS(S3、IAM)への特権アクセス
Uptycs の前提条件を取得する
- Uptycs 管理コンソールにログインします。
- [構成> ユーザー] に移動します。
- ユーザーを選択するか、サービス アカウント ユーザーを作成します。
- [ユーザー API キー] をクリックします。
- 次の詳細をコピーして安全な場所に保存します。
- API キー
- API Secret
- お客様 ID
- API ドメイン(Uptycs URL から派生。例:
mystack.uptycs.io)
Google SecOps 用に AWS S3 バケットと IAM を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で参照できるように、バケットの名前とリージョンを保存します(例:
uptycs-telemetry-export)。 - IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成したユーザーを選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] で [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [CSV ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、今後の参照に備えます。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで [権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索します。
- ポリシーを選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
S3 アップロードの IAM ポリシーとロールを構成する
- AWS コンソールで、[IAM] > [ポリシー] に移動します。
- [ポリシーを作成> [JSON] タブ] をクリックします。
次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::uptycs-telemetry-export/*" }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::uptycs-telemetry-export" } ] }- 別のバケット名を入力した場合は、
uptycs-telemetry-exportを置き換えます。
- 別のバケット名を入力した場合は、
[次へ] > [ポリシーを作成] をクリックします。
ポリシーに
uptycs-s3-write-policyという名前を付けます。[IAM> ユーザー] に移動します。
Uptycs エクスポート用に作成したユーザーを選択します。
[権限を追加> ポリシーを直接アタッチする] をクリックします。
uptycs-s3-write-policyを検索して選択します。[次へ> 権限を追加] をクリックします。
Uptycs Export Raw Telemetry を構成する
- Uptycs コンソールにログインします。
- エクスポート構成セクションに移動します。
- S3 エクスポート先を構成します。
- 次の構成の詳細を入力します。
- Export Type: [Raw Telemetry] を選択します。
- 宛先: [Amazon S3] を選択します。
- 形式: [JSON] を選択します。
- S3 バケット: 「
uptycs-telemetry-export」と入力します。 - S3 パスの接頭辞: 「
telemetry/」と入力します。 - AWS リージョン: バケット リージョンを選択します。
- AWS アクセスキー ID: IAM ユーザーのアクセスキーを入力します。
- AWS Secret Access Key: シークレット アクセスキーを入力します。
- イベントタイプ: 必要なテレメトリー タイプをすべて選択します。
- エクスポートをテストして有効にします。
Google SecOps 用の読み取り専用 IAM ユーザーを作成する
- AWS コンソール > IAM > [Users] に移動します。
- [ユーザーを追加] をクリックします。
- 次の構成の詳細を入力します。
- ユーザー: 「
secops-reader」と入力します。 - アクセスの種類: [アクセスキー - プログラムによるアクセス] を選択します。
- ユーザー: 「
- [Create user] をクリックします。
- 最小限の読み取りポリシー(カスタム)を適用する: [ユーザー] > [secops-reader] > [権限] > [権限を追加] > [ポリシーを直接適用] > [ポリシーを作成]。
JSON エディタで、次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::uptycs-telemetry-export/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::uptycs-telemetry-export" } ] }名前を
secops-reader-policyに設定します。[Create policy] > を検索して選択 > [Next] > [Add permissions] に移動します。
[セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] に移動します。
CSV をダウンロードします(これらの値はフィードに入力されます)。
Uptycs のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Uptycs EDR logs)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [ログタイプ] として [Uptycs EDR] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- S3 URI:
s3://uptycs-telemetry-export/telemetry/ - Source deletion options: 必要に応じて削除オプションを選択します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| osquery_raw_data.answer | read_only_udm.network.dns.answers.name | osquery_raw_data.answer が空でない場合は、osquery_raw_data.answer から取得された値。 |
| osquery_raw_data.container_id | read_only_udm.metadata.product_log_id | osquery_raw_data.container_id が空でない場合は、osquery_raw_data.container_id から取得した値。 |
| osquery_raw_data.local_address | read_only_udm.principal.ip | osquery_raw_data.local_address が空ではなく、有効な IP アドレスである場合、osquery_raw_data.local_address から値が取得されます。 |
| osquery_raw_data.local | read_only_udm.principal.ip | それ以外の場合、osquery_raw_data.local が空ではなく、有効な IP アドレスである場合は、osquery_raw_data.local から値が取得されます。 |
| osquery_raw_data.local_port | read_only_udm.principal.port | osquery_raw_data.local_port が空でない場合、osquery_raw_data.local_port から取得された値が整数に変換されます。 |
| osquery_raw_data.md5 | read_only_udm.target.process.file.md5 | osquery_raw_data.md5 が空でない場合は、osquery_raw_data.md5 から取得した値。 |
| osquery_raw_data.port | read_only_udm.target.port | osquery_raw_data.port が空でない場合、osquery_raw_data.port から取得された値が整数に変換されます。 |
| osquery_raw_data.question | read_only_udm.network.dns.questions.name | osquery_raw_data.question が空でない場合、osquery_raw_data.question から取得された値。 |
| osquery_raw_data.remote_address | read_only_udm.intermediary.ip | osquery_raw_data.remote_address が空でない場合は、osquery_raw_data.remote_address から取得した値。 |
| osquery_raw_data.remote_port | read_only_udm.intermediary.port | osquery_raw_data.remote_port が空でない場合、osquery_raw_data.remote_port から取得された値が整数に変換されます。 |
| osquery_raw_data.type | read_only_udm.network.dns.questions.type | osquery_raw_data.type から取得された値。osquery_raw_data.type が空でない場合は整数に変換されます。 |
| osquery_raw_data.uid | read_only_udm.principal.user.userid | osquery_raw_data.uid が空でなく「0」でない場合、osquery_raw_data.uid から取得された値。 |
| osquery_raw_data.worker_instance_id | read_only_udm.principal.user.userid | それ以外の場合は、osquery_raw_data.worker_instance_id が空でない場合は osquery_raw_data.worker_instance_id から取得された値。 |
| upt_asset_group_id | read_only_udm.principal.user.group_identifiers | upt_asset_group_id が空でない場合は、upt_asset_group_id から取得された値。 |
| upt_asset_group_name | read_only_udm.principal.group.group_display_name | upt_asset_group_name が空でない場合は、upt_asset_group_name から取得した値。 |
| upt_asset_id | read_only_udm.principal.asset.asset_id | upt_asset_id が空でない場合、文字列「UPT ASSET ID:」と upt_asset_id の値を連結した文字列。 |
| upt_hash | read_only_udm.target.file.md5 | upt_hash 内のすべての「-」が「」に置き換えられます。upt_hash が空でない場合、値は read_only_udm.target.file.md5 に割り当てられます。 |
| upt_hostname | read_only_udm.principal.hostname | upt_hostname が空でない場合は、upt_hostname から取得された値。 |
| upt_resource_type | read_only_udm.target.resource.type | upt_resource_type が空でない場合は、upt_resource_type から取得された値。 |
| upt_time | read_only_udm.metadata.event_timestamp.seconds | upt_time が空でない場合、upt_time から値が取得されます。 |
| read_only_udm.metadata.event_type | osquery_raw_data.pid が空でない場合、値は「PROCESS_LAUNCH」に設定されます。osquery_raw_data.question が空でない場合、値は「NETWORK_DNS」に設定されます。event_type が空の場合、値は「GENERIC_EVENT」に設定されます。 | |
| read_only_udm.metadata.log_type | 値は「UPTYCS_EDR」に設定されます。 | |
| read_only_udm.metadata.product_name | 値は「UPTYCS_EDR」に設定されます。 | |
| read_only_udm.metadata.vendor_name | 値は「UPTYCS」に設定されます。 | |
| read_only_udm.network.application_protocol | osquery_raw_data.question が空でない場合、値は「DNS」に設定されます。 | |
| read_only_udm.security_result.action | osquery_raw_data.return_code が「SUCCESS」または osquery_raw_data.success が「1」の場合、値は「ALLOW」に設定されます。 | |
| read_only_udm.target.process.command_line | osquery_raw_data.cmdline が空でない場合、osquery_raw_data.cmdline から取得された値。 | |
| read_only_udm.target.process.file.full_path | osquery_raw_data.path が空でない場合は、osquery_raw_data.path から取得した値。 | |
| read_only_udm.target.process.parent_process | この値は、osquery_raw_data.ancestor_list の ancestor_list 配列を反復処理して構築されます。配列の各要素について、command_line、ファイルの full_path、pid が抽出され、プロセス チェーンを表す JSON 構造にフォーマットされます。 | |
| read_only_udm.target.process.pid | osquery_raw_data.pid が空でない場合は、osquery_raw_data.pid から取得された値。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。