Mengumpulkan log Observasi Security Command Center
Dokumen ini menjelaskan cara mengekspor dan menyerap log Observasi Security Command Center ke Google Security Operations menggunakan Cloud Storage. Parser mengubah data JSON mentah menjadi model data terpadu (UDM). Proses ini menormalisasi struktur data, menangani potensi variasi dalam input, lalu mengekstrak dan memetakan kolom yang relevan ke skema UDM, memperkaya data dengan konteks dan tanda tambahan untuk analisis hilir.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Security Command Center diaktifkan dan dikonfigurasi di lingkungan Google Cloud Anda.
- Instance Google SecOps.
- Akses istimewa ke Security Command Center dan Cloud Logging.
Membuat bucket Cloud Storage
- Login ke konsolGoogle Cloud .
Buka halaman Cloud Storage Buckets.
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
Di bagian Mulai, lakukan tindakan berikut:
- Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-scc-observation-logs.
Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.
Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.
Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:
- Pilih Jenis lokasi.
Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.
Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.
Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:
- Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket Anda.
- Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.
Mengonfigurasi logging Security Command Center
- Login ke konsolGoogle Cloud .
Buka halaman Security Command Center.
Pilih organisasi Anda.
Klik Setelan.
Klik tab Ekspor Berkelanjutan.
Di bagian Nama ekspor, klik Logging Export.
Di bagian Sink, aktifkan Log Temuan ke Logging.
Di bagian Project logging, masukkan atau cari project tempat Anda ingin mencatat temuan.
Klik Simpan.
Mengonfigurasi ekspor log Observasi Security Command Center
- Login ke konsolGoogle Cloud .
- Buka Logging > Log Router.
- Klik Create Sink.
Berikan parameter konfigurasi berikut:
- Sink Name: masukkan nama yang bermakna; misalnya,
scc-observation-logs-sink
. - Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya,
gs://gcp-scc-observation-logs
. Filter Log:
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations" resource.type="security_command_center_observation" logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings" resource.type="security_center_findings"
Tetapkan Opsi Ekspor: menyertakan semua entri log.
- Sink Name: masukkan nama yang bermakna; misalnya,
Klik Buat.
Mengonfigurasi izin untuk Cloud Storage
- Buka IAM & Admin > IAM.
- Temukan akun layanan Cloud Logging.
- Berikan roles/storage.admin pada bucket.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log pengamatan Security Command Center.
- Pilih Google Cloud Storage sebagai Jenis sumber.
- Pilih Pengamatan Security Command Center sebagai Jenis log.
- Klik Dapatkan Akun Layanan di samping kolom Akun Layanan Chronicle.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya,
gs://gcp-scc-observation-logs
. - URI Adalah: pilih Direktori yang menyertakan subdirektori.
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
- URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya,
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Menyiapkan feed dari Hub Konten
Tentukan nilai untuk kolom berikut:
- URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya,
gs://gcp-scc-observation-logs
. - URI Adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
access.callerIp | read_only_udm.principal.ip | Pemetaan langsung. |
access.callerIpGeo.regionCode | read_only_udm.principal.location.country_or_region | Pemetaan langsung. |
access.methodName | read_only_udm.additional.fields.value.string_value | Pemetaan langsung. Juga dipetakan ke read_only_udm.target.labels.value. |
access.principalEmail | read_only_udm.principal.user.email_addresses | Pemetaan langsung. |
access.principalSubject | read_only_udm.principal.user.attribute.labels.value | Pemetaan langsung. |
assetDisplayName | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
assetId | read_only_udm.target.asset.asset_id | Nilai setelah assets/ diekstrak dari kolom assetId dan dipetakan sebagai AssetID:<extracted_value> . |
category | read_only_udm.metadata.product_event_type | Pemetaan langsung. |
contacts.security.contacts.email | read_only_udm.security_result.about.user.email_addresses | Pemetaan langsung. Objek about dapat berulang beberapa kali berdasarkan jumlah kontak. Kolom roles.name ditetapkan ke Security untuk kolom ini. |
contacts.technical.contacts.email | read_only_udm.security_result.about.user.email_addresses | Pemetaan langsung. Objek about dapat berulang beberapa kali berdasarkan jumlah kontak. Kolom roles.name ditetapkan ke Technical untuk kolom ini. |
createTime | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke createTime untuk kolom ini. |
eventTime | read_only_udm.metadata.event_timestamp | Dikonversi ke format stempel waktu. |
externalUri | read_only_udm.about.url | Pemetaan langsung. |
findingClass | read_only_udm.security_result.category_details | Pemetaan langsung. |
findingProviderId | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
mitreAttack.primaryTactic | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke primary_tactic untuk kolom ini. |
mitreAttack.primaryTechniques | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan jumlah teknik. Kolom key ditetapkan ke primary_technique untuk kolom ini. |
mute | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke mute untuk kolom ini. |
nama | read_only_udm.metadata.product_log_id | Pemetaan langsung. |
parentDisplayName | read_only_udm.metadata.description | Pemetaan langsung. |
resource.display_name | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resource.name | read_only_udm.target.resource.name, read_only_udm.principal.resource.name | Pemetaan langsung. Saat kolom ini digunakan untuk mengisi kolom principal.resource.name , parser akan memeriksa apakah resource.project_name kosong. Jika tidak kosong, resource.project_name akan digunakan. |
resource.parent_display_name | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resource.parent_name | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resource.project_display_name | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resource.project_name | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resource.type | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
resourceName | read_only_udm.target.resource.name | Pemetaan langsung. |
securityMarks.name | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke securityMarks_name untuk kolom ini. |
tingkat keseriusan, | read_only_udm.security_result.severity, read_only_udm.security_result.priority_details | Pemetaan langsung. |
sourceDisplayName | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
sourceProperties.contextUris.mitreUri.displayName | read_only_udm.security_result.detection_fields.key | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. |
sourceProperties.contextUris.mitreUri.url | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. |
sourceProperties.detectionCategory.ruleName | read_only_udm.security_result.rule_name | Pemetaan langsung. |
sourceProperties.detectionCategory.subRuleName | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke sourceProperties_detectionCategory_subRuleName untuk kolom ini. |
sourceProperties.detectionPriority | read_only_udm.security_result.priority_details | Pemetaan langsung. |
sourceProperties.findingId | read_only_udm.target.resource.attribute.labels.value | Pemetaan langsung. |
state | read_only_udm.security_result.detection_fields.value | Pemetaan langsung. Objek detection_fields dapat berulang beberapa kali berdasarkan kolom yang tersedia. Kolom key ditetapkan ke state untuk kolom ini. |
T/A | read_only_udm.metadata.log_type | Hardcode ke GCP_SECURITYCENTER_OBSERVATION . |
T/A | read_only_udm.metadata.product_name | Hardcode ke Security Command Center . |
T/A | read_only_udm.metadata.vendor_name | Hardcode ke Google . |
T/A | read_only_udm.principal.user.account_type | Disetel ke CLOUD_ACCOUNT_TYPE jika email utama ada. |
T/A | read_only_udm.security_result.alert_state | Hardcode ke ALERTING . |
T/A | read_only_udm.security_result.priority | Tetapkan ke LOW_PRIORITY jika tingkat keparahan adalah LOW . |
T/A | read_only_udm.target.application | Diekstrak dari kolom resourceName. |
T/A | read_only_udm.target.resource.product_object_id | Diekstrak dari kolom induk. |
T/A | read_only_udm.target.resource.resource_type | Setel ke CLUSTER secara default. Tetapkan ke VIRTUAL_MACHINE jika kategori adalah Impact: GPU Instance Created atau Impact: Many Instances Created . Ditetapkan ke SETTING jika kategori adalah Persistence: Add Sensitive Role . |
T/A | read_only_udm.target.resource_ancestors.name | Diekstrak dari kolom parent dan resourceName. |
T/A | read_only_udm.target.resource_ancestors.product_object_id | Diekstrak dari kolom parent, resource.project_name, dan resourceName. |
T/A | read_only_udm.target.resource_ancestors.resource_type | Tetapkan ke CLOUD_PROJECT jika resource.type adalah google.compute.Project . |
T/A | read_only_udm.target.labels.key | Nilai ditetapkan ke access_methodName jika access.methodName ada. |
T/A | read_only_udm.target.labels.value | Nilai ditetapkan dari access.methodName . |
T/A | read_only_udm.target.resource.attribute.labels.key | Kunci ditetapkan ke salah satu nilai berikut berdasarkan kolom yang tersedia: resource_parentDisplayName , resource_type , resource_parentName , resource_projectDisplayName , resource_displayName , finding_id , source_id , FindingProviderId , sourceDisplayName , asset_display_name . |
T/A | read_only_udm.target.resource.attribute.labels.value | Nilai ditetapkan dari salah satu kolom berikut berdasarkan kolom yang tersedia: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName, assetDisplayName. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.