Raccogliere i log della VPN Twingate

Supportato in:

Questo parser Twingate estrae i campi dai log JSON della VPN Twingate, li normalizza e li mappa al modello UDM (Unified Data Model). Gestisce vari tipi di eventi, tra cui dettagli della connessione, informazioni sull'utente, accesso alle risorse e relè intermedi, arricchendo i dati con metadati come informazioni sul fornitore e sul prodotto.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso privilegiato ad AWS IAM e S3.

Configurare il bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro.

  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.

  4. Seleziona l'utente creato.

  5. Seleziona la scheda Credenziali di sicurezza.

  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.

  7. Seleziona Servizio di terze parti come Caso d'uso.

  8. Fai clic su Avanti.

  9. (Facoltativo) Aggiungi un tag di descrizione.

  10. Fai clic su Crea chiave di accesso.

  11. Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso secret per riferimento futuro.

  12. Fai clic su Fine.

  13. Seleziona la scheda Autorizzazioni.

  14. Fai clic su Aggiungi autorizzazioni nella sezione Policy di autorizzazione.

  15. Seleziona Aggiungi autorizzazioni.

  16. Seleziona Collega policy direttamente.

  17. Cerca la policy AmazonS3FullAccess.

  18. Seleziona la policy.

  19. Fai clic su Avanti.

  20. Fai clic su Aggiungi autorizzazioni.

Configurare la sincronizzazione di Twingate con Amazon S3

  1. Vai alla Console di amministrazione di Twingate.
  2. Vai a Impostazioni > Report.
  3. Fai clic su Sincronizza con il bucket S3.

  4. Configura la sincronizzazione S3:

    • Nome bucket: inserisci il nome del bucket S3.

    • ID chiave di accesso: inserisci la chiave di accesso.

    • Chiave di accesso secret: inserisci la chiave secret.

  5. Fai clic su Avvia sincronizzazione.

Configura i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Twingate.
  5. Seleziona Amazon S3 V2 come Tipo di origine.
  6. Seleziona Twingate come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI S3: l'URI del bucket. s3:/BUCKET_NAME Sostituisci quanto segue:
      • BUCKET_NAME: il nome del bucket.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  9. Fai clic su Avanti.

  10. Esamina la nuova configurazione del feed nella schermata Finalizza, quindi fai clic su Invia.

Riferimento per la mappatura dei campi

Questo parser trasforma i log non elaborati di Twingate in formato JSON in UDM. Normalizza i dati ed estrae le informazioni pertinenti, mappandole ai campi UDM corrispondenti.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
connector.id read_only_udm.additional.fields[].key Imposta su "connector_id".
connector.id read_only_udm.additional.fields[].value.string_value Valore da connector.id.
connector.name read_only_udm.additional.fields[].key Imposta su "connector_name".
connector.name read_only_udm.additional.fields[].value.string_value Valore da connector.name.
connection.bytes_received read_only_udm.network.received_bytes Valore da connection.bytes_received (convertito in un intero senza segno).
connection.bytes_transferred read_only_udm.network.sent_bytes Valore da connection.bytes_transferred (convertito in un intero senza segno).
connection.client_ip read_only_udm.principal.asset.ip Valore da connection.client_ip.
connection.client_ip read_only_udm.principal.ip Valore da connection.client_ip.
connection.protocol read_only_udm.network.ip_protocol Valore da connection.protocol (convertito in maiuscolo).
device.id read_only_udm.principal.user.product_object_id Valore da device.id.
event.id read_only_udm.metadata.event_id Valore da event.id
event.time read_only_udm.metadata.event_timestamp.seconds Parte dei secondi del timestamp da event.time.
event.type read_only_udm.event.type Valore da event.type.
event.version read_only_udm.metadata.product_version Valore da event.version.
relays[].ip read_only_udm.intermediary.ip Valore da relays[].ip.
relays[].name read_only_udm.intermediary.hostname Valore da relays[].name.
relays[].port read_only_udm.intermediary.port Valore da relays[].port (convertito in un intero).
remote_network.id read_only_udm.network.session_id Valore da remote_network.id.
remote_network.name read_only_udm.network.dhcp.sname Valore da remote_network.name.
resource.address read_only_udm.principal.asset.hostname Valore da resource.address.
resource.address read_only_udm.principal.hostname Valore da resource.address.
resource.id read_only_udm.resource.product_object_id Valore da resource.id.
resource.port read_only_udm.principal.port Valore da resource.port (convertito in un intero).
status read_only_udm.security_result.summary Valore da status.
time read_only_udm.event.timestamp.seconds Parte dei secondi del timestamp da time.
user.email read_only_udm.principal.user.email_addresses Valore da user.email.
user.id read_only_udm.principal.user.userid Valore da user.id.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.