收集 Uptycs EDR 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Amazon S3,將 Uptycs EDR 記錄擷取至 Google Security Operations。剖析器會將原始 JSON 記錄轉換為統一資料模型 (UDM)。系統會先從 JSON 擷取欄位、執行資料清理和擴充作業,然後將相關資訊對應至相應的 UDM 欄位,處理各種資料類型和極端情況,確保 UDM 結構定義中的表示方式準確一致。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Uptycs 的特殊存取權
- AWS (S3、IAM) 的特殊存取權
取得 Uptycs 必要條件
- 登入 Uptycs 管理控制台。
- 依序前往「設定」>「使用者」。
- 選取使用者或建立服務帳戶使用者。
- 按一下「使用者 API 金鑰」。
- 複製下列詳細資料並儲存在安全位置:
- API 金鑰
- API 密鑰
- 客戶 ID
- API 網域 (衍生自 Uptycs 網址,例如
mystack.uptycs.io)
為 Google SecOps 設定 AWS S3 值區和 IAM
- 按照這份使用者指南建立 Amazon S3 bucket:建立 bucket。
- 儲存 bucket 的「名稱」和「地區」,以供日後參考 (例如
uptycs-telemetry-export)。 - 請按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
- 按一下 [完成]。
- 選取「權限」分頁標籤。
- 在「權限政策」部分中,按一下「新增權限」。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋 AmazonS3FullAccess 政策。
- 選取政策。
- 點選「下一步」。
- 按一下「Add permissions」。
設定 S3 上傳的身分與存取權管理政策和角色
- 在 AWS 控制台中,前往「IAM」>「Policies」。
- 按一下「建立政策」>「JSON」分頁。
輸入下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::uptycs-telemetry-export/*" }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::uptycs-telemetry-export" } ] }- 如果您輸入其他 bucket 名稱,請替換
uptycs-telemetry-export。
- 如果您輸入其他 bucket 名稱,請替換
依序點選「下一步」>「建立政策」。
將政策命名為
uptycs-s3-write-policy。依序前往「IAM」>「Users」。
選取為 Uptycs 匯出作業建立的使用者。
依序點選「新增權限」>「直接附加政策」。
搜尋並選取
uptycs-s3-write-policy。依序點選「下一步」>「新增權限」。
設定 Uptycs 匯出原始遙測資料
- 登入 Uptycs 控制台。
- 前往「匯出設定」部分。
- 設定 S3 匯出目的地。
- 提供下列設定詳細資料:
- 匯出類型:選取「原始遙測資料」。
- 目的地:選取「Amazon S3」。
- 格式:選取「JSON」。
- S3 Bucket:輸入
uptycs-telemetry-export。 - S3 路徑前置字元:輸入
telemetry/。 - AWS 區域:選取儲存空間的區域。
- AWS 存取金鑰 ID:輸入 IAM 使用者的存取金鑰。
- AWS 存取密鑰:輸入存取密鑰。
- 事件類型:選取所有必要的遙測類型。
- 測試並啟用匯出功能。
為 Google SecOps 建立唯讀 IAM 使用者
- 前往 AWS 控制台 > IAM > Users。
- 點選 [Add users] (新增使用者)。
- 提供下列設定詳細資料:
- 使用者:輸入
secops-reader。 - 存取類型:選取「存取金鑰 - 程式輔助存取」。
- 使用者:輸入
- 按一下「建立使用者」。
- 附加最低讀取權限政策 (自訂):依序點選「Users」(使用者) >「secops-reader」>「Permissions」(權限) >「Add permissions」(新增權限) >「Attach policies directly」(直接附加政策) >「Create policy」(建立政策)。
在 JSON 編輯器中輸入下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::uptycs-telemetry-export/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::uptycs-telemetry-export" } ] }將名稱設為
secops-reader-policy。依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。
依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。
下載 CSV (這些值會輸入至動態饋給)。
在 Google SecOps 中設定資訊提供,擷取 Uptycs 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「+ 新增動態消息」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Uptycs EDR logs)。 - 選取「Amazon S3 V2」做為「來源類型」。
- 選取「Uptycs EDR」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- S3 URI:
s3://uptycs-telemetry-export/telemetry/ - 來源刪除選項:根據偏好設定選取刪除選項。
- 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
- 存取金鑰 ID:具有 S3 儲存空間存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- S3 URI:
- 點選「下一步」。
- 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| osquery_raw_data.answer | read_only_udm.network.dns.answers.name | 如果 osquery_raw_data.answer 不為空白,則取自 osquery_raw_data.answer 的值。 |
| osquery_raw_data.container_id | read_only_udm.metadata.product_log_id | 如果 osquery_raw_data.container_id 不為空白,則取自 osquery_raw_data.container_id 的值。 |
| osquery_raw_data.local_address | read_only_udm.principal.ip | 如果 osquery_raw_data.local_address 不為空白且是有效的 IP 位址,則取自 osquery_raw_data.local_address 的值。 |
| osquery_raw_data.local | read_only_udm.principal.ip | 否則,如果 osquery_raw_data.local 不為空白且是有效的 IP 位址,則會從 osquery_raw_data.local 取得值。 |
| osquery_raw_data.local_port | read_only_udm.principal.port | 如果 osquery_raw_data.local_port 不為空白,則取自 osquery_raw_data.local_port 的值會轉換為整數。 |
| osquery_raw_data.md5 | read_only_udm.target.process.file.md5 | 如果 osquery_raw_data.md5 不為空白,則取自 osquery_raw_data.md5。 |
| osquery_raw_data.port | read_only_udm.target.port | 如果 osquery_raw_data.port 不為空白,系統會從 osquery_raw_data.port 取得值,並轉換為整數。 |
| osquery_raw_data.question | read_only_udm.network.dns.questions.name | 如果 osquery_raw_data.question 不是空白,則取自 osquery_raw_data.question 的值。 |
| osquery_raw_data.remote_address | read_only_udm.intermediary.ip | 如果 osquery_raw_data.remote_address 不為空,則取自 osquery_raw_data.remote_address 的值。 |
| osquery_raw_data.remote_port | read_only_udm.intermediary.port | 如果 osquery_raw_data.remote_port 不為空白,則取自 osquery_raw_data.remote_port 的值會轉換為整數。 |
| osquery_raw_data.type | read_only_udm.network.dns.questions.type | 取自 osquery_raw_data.type 的值,如果 osquery_raw_data.type 不是空白,則會轉換為整數。 |
| osquery_raw_data.uid | read_only_udm.principal.user.userid | 如果 osquery_raw_data.uid 不為空且不等於「0」,則取自 osquery_raw_data.uid 的值。 |
| osquery_raw_data.worker_instance_id | read_only_udm.principal.user.userid | 否則,如果 osquery_raw_data.worker_instance_id 不為空白,則會從 osquery_raw_data.worker_instance_id 取得值。 |
| upt_asset_group_id | read_only_udm.principal.user.group_identifiers | 如果 upt_asset_group_id 不為空,則取自 upt_asset_group_id。 |
| upt_asset_group_name | read_only_udm.principal.group.group_display_name | 如果 upt_asset_group_name 不為空白,則取自 upt_asset_group_name。 |
| upt_asset_id | read_only_udm.principal.asset.asset_id | 如果 upt_asset_id 不為空白,則串連字串「UPT ASSET ID:」與 upt_asset_id 的值。 |
| upt_hash | read_only_udm.target.file.md5 | upt_hash 中的所有「-」都會替換為「」。如果 upt_hash 不是空白,系統就會將值指派給 read_only_udm.target.file.md5。 |
| upt_hostname | read_only_udm.principal.hostname | 如果 upt_hostname 不是空白,則取自 upt_hostname 的值。 |
| upt_resource_type | read_only_udm.target.resource.type | 如果 upt_resource_type 不是空白,則取自 upt_resource_type 的值。 |
| upt_time | read_only_udm.metadata.event_timestamp.seconds | 如果 upt_time 不是空白,則取自 upt_time 的值。 |
| read_only_udm.metadata.event_type | 如果 osquery_raw_data.pid 不是空白,值會設為「PROCESS_LAUNCH」。如果 osquery_raw_data.question 不為空白,值會設為「NETWORK_DNS」。如果 event_type 為空,值會設為「GENERIC_EVENT」。 | |
| read_only_udm.metadata.log_type | 值設為「UPTYCS_EDR」。 | |
| read_only_udm.metadata.product_name | 值設為「UPTYCS_EDR」。 | |
| read_only_udm.metadata.vendor_name | 值設為「UPTYCS」。 | |
| read_only_udm.network.application_protocol | 如果 osquery_raw_data.question 不為空白,則值會設為「DNS」。 | |
| read_only_udm.security_result.action | 如果 osquery_raw_data.return_code 等於「SUCCESS」,或 osquery_raw_data.success 等於「1」,值會設為「ALLOW」。 | |
| read_only_udm.target.process.command_line | 如果 osquery_raw_data.cmdline 不為空白,則取自 osquery_raw_data.cmdline 的值。 | |
| read_only_udm.target.process.file.full_path | 如果 osquery_raw_data.path 不為空,則取自 osquery_raw_data.path 的值。 | |
| read_only_udm.target.process.parent_process | 這個值是透過疊代 osquery_raw_data.ancestor_list 中的 ancestor_list 陣列建構而成。系統會針對陣列中的每個元素,擷取 command_line、檔案的完整路徑和 PID,並將這些資訊格式化為代表程序鏈的 JSON 結構。 | |
| read_only_udm.target.process.pid | 如果 osquery_raw_data.pid 不為空白,則取自 osquery_raw_data.pid 的值。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。