收集 Cloud 入侵偵測系統 (Cloud IDS) 記錄

支援以下發布途徑:

本文件說明如何使用 Cloud Storage 將 Cloud IDS 記錄匯出並擷取至 Google 安全作業。剖析器會將原始 JSON 格式的 Cloud IDS 記錄從 Google Cloud 轉換為結構化 UDM 格式。這個工具會擷取相關欄位、對應至 UDM 架構、分類事件,並透過網路方向和資源類型等額外情境來豐富資料。

事前準備

  • 確認您有 Google SecOps 執行個體。
  • 請確認 Cloud IDS 已在 Google Cloud 環境中設定並啟用。
  • 請確認您具備 Google Cloud 特殊權限和適當權限,才能存取 Cloud IDS。

建立 Cloud Storage bucket

  1. 登入 Google Cloud 控制台

  2. 前往「Cloud Storage Buckets」(Cloud Storage 值區) 頁面。

    前往「Buckets」(值區) 頁面

  3. 按一下 [建立]。

  4. 在「Create a bucket」(建立值區) 頁面中輸入值區資訊。完成下列每個步驟後,請按一下「繼續」繼續下一步:

    1. 在「開始使用」部分執行下列操作:

      1. 輸入符合值區名稱規定的不重複名稱,例如 gcp-ids-logs

      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載進行最佳化」部分,然後選取「為這個值區啟用階層命名空間」

      3. 如要新增分類標籤,請按一下展開箭頭,展開「Labels」部分。

      4. 按一下「Add label」(新增標籤),然後指定標籤的鍵和值。

    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:

      1. 選取「位置類型」

      2. 使用位置類型選單選取位置,指定要永久儲存值區內物件資料的位置。

      3. 如要設定跨值區複製作業,請展開「設定跨值區複製作業」部分。

    3. 在「Choose a storage class for your data」專區中,為值區選取預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區的資料儲存空間級別。

    4. 在「選取如何控制物件的存取權」專區中,選取「否」來強制執行公開存取防護,然後為值區物件選取存取權控管模型

    5. 在「Choose how to protect object data」(選擇保護物件資料的方式) 專區中執行下列操作:

      1. 選取「資料保護」下方的任一選項,設定值區。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」

  5. 按一下 [建立]。

設定 Cloud IDS 記錄匯出作業

  1. 登入 Google Cloud 控制台
  2. 依序前往「Logging」>「Log Router」
  3. 按一下「建立接收器」

  4. 提供下列設定參數:

    • Sink Name:輸入有意義的名稱,例如 google-cloud-ids-logs-sink
    • Sink Destination:選取「Cloud Storage」,並提供 Google Cloud storage bucket URI,例如 gs://gcp-ids-logs

    • 記錄檔篩選器

      logName="projects/<your-project-id>/logs/cloud-ids"

  5. 按一下 [建立]。

設定 Cloud Storage 權限

  1. 依序前往「IAM 與管理」>「身分與存取權管理」
  2. 找出 Cloud Logging 服務帳戶。
  3. 授予值區的 roles/storage.admin 角色。

在 Google SecOps 中設定動態饋給,以便擷取 Cloud IDS 記錄

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增」
  3. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「GCP IDS Logs」
  4. 選取「Google Cloud Storage」做為「來源類型」
  5. 選取「GCP IDS」做為「記錄類型」
  6. 按一下「Chronicle Service Account」欄位旁的「Get Service Account」
  7. 點按「Next」

  8. 指定下列輸入參數的值:

    • Storage Bucket URI:Cloud Storage 值區網址,例如 gs://gcp-ids-logs
    • URI 是:選取「Directory which includes subdirectories」

    • 來源刪除選項:根據個人偏好選取刪除選項。

    • 資產命名空間資產命名空間

    • 擷取標籤:套用至這個動態饋給事件的標籤。

  9. 點按「Next」

  10. 在「完成」畫面中查看新的動態饋給設定,然後按一下「提交」

UDM 對應表

記錄欄位 UDM 對應 邏輯
insertId metadata.product_log_id 直接對應。
jsonPayload.alert_severity security_result.severity 直接對應。
jsonPayload.alert_time metadata.event_timestamp 直接對應。
jsonPayload.application principal.application 直接對應,但只有在方向為伺服器對用戶端時才會發生。
jsonPayload.application target.application 直接對應,僅限方向為用戶端對伺服器或 logName 包含 traffic 的情況。
jsonPayload.category security_result.category 根據「jsonPayload.category」的值進行對應:
- 'dos':NETWORK_DENIAL_OF_SERVICE
- 'info-leak':NETWORK_SUSPICIOUS
- 'protocol-anomaly':NETWORK_MALICIOUS
- 'backdoor'、'spyware'、'trojan':SOFTWARE_MALICIOUS
jsonPayload.category security_result.category_details 直接對應。
jsonPayload.cves extensions.vulns.vulnerabilities.cve_id 直接對應,對陣列進行迴迭。
jsonPayload.destination_ip_address target.ip 直接對應。
jsonPayload.destination_port target.port 直接對應。
jsonPayload.details extensions.vulns.vulnerabilities.description 直接對應。
jsonPayload.details security_result.detection_fields.value 如果「jsonPayload.repeat_count」存在,就會對應。鍵設為「repeat_count」。
jsonPayload.direction network.direction 根據「jsonPayload.direction」的值進行對應:
-「client-to-server」:OUTBOUND
-「server-to-client」:INBOUND
jsonPayload.elapsed_time network.session_duration.seconds 直接對應。
jsonPayload.ip_protocol network.ip_protocol 直接對應,轉換為大寫,然後對應至通訊協定號碼。
jsonPayload.name security_result.threat_name 直接對應。
jsonPayload.network principal.resource.name 直接對應,但只有在方向為伺服器對用戶端時才會發生。
jsonPayload.network target.resource.name 直接對應,僅限方向為用戶端對伺服器或 logName 包含 traffic 的情況。
jsonPayload.repeat_count security_result.detection_fields.value 已對應 (如果有的話)。鍵設為「repeat_count」。
jsonPayload.session_id network.session_id 直接對應。
jsonPayload.source_ip_address principal.ip 直接對應。
jsonPayload.source_port principal.port 直接對應。
jsonPayload.start_time about.labels.value 已對應 (如果有的話)。鍵已設為「start_time」。
jsonPayload.start_time additional.fields.value.string_value 已對應 (如果有的話)。鍵已設為「start_time」。
jsonPayload.threat_id security_result.threat_id 直接對應。
jsonPayload.total_bytes about.labels.value 已對應 (如果有的話)。鍵設為「total_bytes」。
jsonPayload.total_bytes additional.fields.value.string_value 已對應 (如果有的話)。鍵設為「total_bytes」。
jsonPayload.total_packets about.labels.value 已對應 (如果有的話)。鍵值設為「total_packets」。
jsonPayload.total_packets additional.fields.value.string_value 已對應 (如果有的話)。鍵值設為「total_packets」。
jsonPayload.type security_result.detection_fields.value 已對應 (如果有的話)。鍵已設為「type」。
jsonPayload.uri_or_filename target.file.full_path 直接對應。
logName security_result.category_details 直接對應。
receiveTimestamp metadata.collected_timestamp 直接對應。
resource.labels.id observer.resource.product_object_id 直接對應。
resource.labels.location observer.location.name 直接對應。
resource.labels.resource_container observer.resource.name 直接對應。
resource.type observer.resource.resource_subtype 直接對應。
metadata.event_type 系統會根據一組條件規則判斷,這些規則會根據其他欄位的存在與值決定,預設值為「GENERIC_EVENT」。
metadata.vendor_name 靜態值:Google Cloud Platform
metadata.product_name 靜態值:GCP_IDS
metadata.log_type 靜態值:GCP_IDS
extensions.vulns.vulnerabilities.vendor 靜態值:GCP_IDS,會為「jsonPayload.cves」中的每個 CVE 新增。
principal.resource.resource_type 靜態值:VPC_NETWORK,如果「jsonPayload.network」存在且方向為伺服器對用戶端,則會新增此值。
target.resource.resource_type 靜態值:VPC_NETWORK。如果「jsonPayload.network」存在,且方向為用戶端對伺服器或 logName 包含 traffic,就會加入這個值。
observer.resource.resource_type 靜態值:CLOUD_PROJECT。如果存在「resource.labels.resource_container」或「resource.type」,就會加入。
observer.resource.attribute.cloud.environment 靜態值:GOOGLE_CLOUD_PLATFORM。如果存在「resource.labels.resource_container」或「resource.type」,就會新增此值。
is_alert 如果 'jsonPayload.alert_severity' 為 'CRITICAL',則傳回 true,否則傳回 false。
is_significant 如果 'jsonPayload.alert_severity' 為 'CRITICAL',則傳回 true,否則傳回 false。

異動

2024-05-01

  • 已為已淘汰的 noun.labels 新增其他對應。

2023-12-13

  • 將 GCP_IDS 剖析器設為預設。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。