本頁面由 Cloud Translation API 翻譯而成。

使用資產命名空間

支援以下發布途徑：

Google secops Siem

在 Google 安全作業中搜尋資產 (例如使用 IP 位址或主機名稱) 時，您可以查看與該資產相關的所有活動。有時，多個素材資源會與相同的 IP 位址或主機名稱建立關聯 (例如，來自不同網路區段重疊的 RFC 1918 IP 位址指派)。

素材資源命名空間功能可讓您將共用相同網路環境 (或命名空間) 的素材資源分類，然後根據其命名空間在 Google SecOps 使用者介面中搜尋這些素材資源。舉例來說，您可以為雲端網路、公司與產品區隔、合併和收購網路等建立命名空間。

建立命名空間並指派給資料

所有資產都有一個命名空間，這個命名空間會自動定義或手動設定。如果記錄中未提供命名空間，系統會將「預設」命名空間與在 Google SecOps UI 中標示為「未標記」的素材資源建立關聯。在支援命名空間前，匯入 Google SecOps 的記錄會隱含標示為預設或未標記的命名空間。

您可以使用下列項目設定命名空間：

Google SecOps Forwarder 的 Linux 版本。
部分規格化剖析器 (例如 Google Cloud) 可自動填入命名空間 (針對 Google Cloud，根據專案和 VPC ID)。
Chronicle Ingestion API。
Google SecOps 動態饋給管理。

Google SecOps UI 中的命名空間

您會在 Google SecOps UI 中看到附加至資產的命名空間，尤其是在有資產清單時，包括以下項目：

UDM 搜尋
原始記錄檔掃描
企業洞察
偵測檢視

搜尋列

使用搜尋列時，系統會顯示與每個素材資源相關聯的命名空間。選取特定命名空間中的資產，即可在「資產」檢視畫面中開啟該資產，並顯示與相同命名空間相關聯的其他活動。

未與命名空間建立關聯的任何資產，都會指派至預設命名空間。不過，預設命名空間不會顯示在清單中。

素材資源檢視畫面

在「資產」檢視畫面中，命名空間會顯示在頁面頂端的資產標題中。如果您按一下向下箭頭選取下拉式選單，可以選取與資產相關的其他命名空間。

含有命名空間的資產檢視畫面 含有命名空間的素材資源檢視畫面

IP 位址、網域和雜湊檢視畫面

在 Google SecOps 使用者介面中，命名空間會顯示在參照資產的任何位置 (除了預設或未標記的命名空間)，包括 IP 位址、網域和雜湊值檢視畫面。

舉例來說，在 IP 位址檢視畫面中，命名空間會同時列在素材資源分頁和盛行率圖表中。

擷取標籤

如要進一步縮小搜尋範圍，您可以使用擷取標籤設定不同的動態饋給。如需查看支援的攝入標籤完整清單，請參閱「支援的預設剖析器」。

範例：新增命名空間至記錄的三種方法

以下範例說明如何在將記錄匯入 Google SecOps 帳戶時，為記錄新增命名空間。

使用 Google SecOps Forwarder 指派命名空間

您可以將命名空間新增至 Google SecOps 轉送器設定檔，做為轉送器專屬或收集器專屬命名空間。以下是轉送器設定範例，說明這兩種類型：

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如本範例所示，來自 WINEVTLOG 的記錄包含命名空間標記 FORWARDER。來自 NIX_SYSTEM 的記錄包含命名空間標記 CORPORATE。

這會將整體命名空間設為記錄收集器。如果您的環境包含屬於多個命名空間的混合記錄，且您無法區隔這些機器 (或這是設計上的考量)，Google 建議您為相同記錄來源建立多個收集器，並使用規則運算式篩選記錄至各自的命名空間。

使用 Ingestion API 指派命名空間

您也可以在透過 Chronicle 擷取 API 中的 unstructuredlogentries 端點傳送記錄時設定命名空間，如以下範例所示：

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在這個範例中，命名空間是 API POST 呼叫的要求主體參數。BIND\_DNS 記錄會使用 FORWARDER 命名空間標記轉送記錄資料。

使用 Google SecOps 動態饋給管理功能指派命名空間

如動態饋給管理使用者指南所述，Google SecOps 動態饋給管理可讓您在 Google SecOps 租用戶中設定及管理各種記錄串流。

在以下範例中，Office 365 記錄會使用 FORWARDER 命名空間標記攝入：

add_feed_namespace

圖 1：使用 FORWARDER 命名空間標記的動態饋給管理設定

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。