本頁面由 Cloud Translation API 翻譯而成。

將資料擷取至 Google Security Operations Google Cloud

支援以下發布途徑：

Google secops Siem

本頁面說明如何啟用和停用將資料匯入 Google SecOps 的功能。 Google Cloud 這可讓您根據資料保留期限，儲存、搜尋及檢查企業的匯總安全性資訊，回溯時間長達數月或更久。

總覽

您可以透過兩種方式將 Google Cloud 資料傳送至 Google SecOps。選擇正確的選項取決於記錄檔類型。

方法 1：直接攝入

您可以在 Google Cloud 中設定特殊的 Cloud Logging 篩選器，以便即時將特定記錄類型傳送至 Google SecOps。這些記錄由 Google Cloud 服務產生。系統會從設定篩選器的時間開始收集記錄。系統不會納入設定前產生的記錄。這項即時轉送功能適用於 Cloud Logging、Cloud Asset 中繼資料和 Security Command Center Premium 發現項目。

Google Security Operations 只會擷取支援的記錄類型。可用的記錄類型包括：

Cloud 稽核記錄
Cloud NAT
Cloud DNS
Cloud Next Generation Firewall
雲端入侵偵測系統
Cloud Load Balancing
Cloud SQL
Windows 事件記錄檔
Linux 系統記錄檔
Linux Sysmon
Zeek
Google Kubernetes Engine
稽核 Daemon (auditd)
Apigee
reCAPTCHA Enterprise
Cloud Run 記錄檔 (GCP_RUN)
Google Cloud 濫用事件

如要進一步瞭解特定記錄篩選器和其他擷取詳細資料，請參閱「匯出 Google Cloud 記錄檔」一文。

您也可以傳送 Google Cloud 用於強化內容的中繼資料。詳情請參閱「將資產中繼資料匯出 Google Cloud 至 Google SecOps」。

選項 2： Google Cloud 儲存空間

Cloud Logging 可按時程將記錄檔轉送至 Google SecOps 的 Cloud Storage。

如要進一步瞭解如何為 Google SecOps 設定 Cloud Storage，請參閱「動態饋給管理：Cloud Storage」。

事前準備

您必須先完成下列步驟，才能將 Google Cloud 資料擷取至 Google SecOps 執行個體：

在機構層級授予下列 IAM 角色，即可存取 Google SecOps 專區：
- Chronicle 服務管理員 (roles/chroniclesm.admin)：用於執行所有活動的 IAM 角色。
- Chronicle 服務檢視者 (roles/chroniclesm.viewer)：IAM 角色，僅能查看擷取狀態。
- 安全中心管理員編輯者 (roles/securitycenter.adminEditor)：啟用 Cloud Asset 中繼資料的擷取功能時必須具備此權限。
如果您打算啟用 Cloud Asset Metadata，必須將機構加入 Security Command Center。詳情請參閱「組織層級啟用功能總覽」。

授予 IAM 角色

您可以使用 Google Cloud 控制台或 gcloud CLI 授予必要的 IAM 角色。

如要使用 Google Cloud 控制台授予 IAM 角色，請完成下列步驟：

登入 Google Cloud 要連結的機構組織，然後依序前往「產品」>「IAM 與管理」>「身分與存取權管理」，前往 IAM 畫面。
在 IAM 畫面中選取使用者，然後按一下「編輯成員」。

注意： 如果您不是在 IAM 的「機構」檢視畫面中，系統會停用「編輯成員」按鈕。如要啟用這項功能，請前往機構的 IAM 畫面。
在「Edit Permissions」(編輯權限) 畫面中，按一下「Add Another Role」(新增其他角色)，然後搜尋 Google SecOps 來找出 IAM 角色。
指派完角色後，請按一下「儲存」。

如要使用 Google Cloud CLI 授予 IAM 角色，請完成下列步驟：

確認您登入的組織正確無誤。請執行 gcloud init 指令來驗證這一點。
如要使用 gcloud 授予 Chronicle Service Admin IAM 角色，請執行下列指令：
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
更改下列內容：
- ORGANIZATION_ID：數字機構 ID。
- USER_EMAIL：使用者的電子郵件地址。

如要使用 gcloud 授予 Chronicle Service Viewer IAM 角色，請執行下列指令：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

如要使用 gcloud 授予安全中心管理員編輯者角色，請執行下列指令：

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

啟用從 Google Cloud直接擷取功能

啟用從 Google Cloud 直接擷取的步驟會因 Google SecOps 執行個體所綁定的專案擁有權而異。

如果該專案已綁定至您擁有及管理的專案，請按照「當專案由客戶擁有時，設定擷取作業」中的步驟操作。這個方法可讓您設定來自多個 Google Cloud 機構的資料擷取作業。
如果該專案已綁定至 Google Cloud 擁有及管理的專案，請按照「為 Google 管理的專案設定擷取作業」中的步驟操作。

設定直接擷取功能後， Google Cloud 資料就會傳送至 Google SecOps。您可以使用 Google SecOps 的分析功能調查安全性相關問題。

在客戶擁有專案時設定擷取作業

如果您擁有 Google Cloud 專案，請按照下列步驟操作。

您可以使用相同的專案層級設定頁面，設定多個機構的直接攝入作業。請按照下列步驟建立新設定，並編輯現有設定。

當您遷移現有的 Google SecOps 執行個體，使其繫結至您擁有的專案時，如果在遷移前已設定直接擷取功能，系統也會一併遷移直接擷取設定。

在 Google Cloud 控制台中，依序前往「Google SecOps」 >「擷取設定」頁面。
前往 Google SecOps 頁面
選取已綁定至 Google SecOps 執行個體的專案。
在「機構」選單中，選取要匯出記錄的機構。選單會顯示您具備存取權的機構。這份清單可能包含未連結至 Google SecOps 執行個體的機構。您無法設定將資料傳送至其他 Google SecOps 執行個體的機構。
在「Google Cloud 擷取設定」部分下方，點選「將資料傳送至 Google Security Operations」切換按鈕，啟用將記錄傳送至 Google SecOps 的功能。
選取下列一或多個選項，定義傳送至 Google SecOps 的資料類型：
- Google Cloud Logging：如要進一步瞭解這個選項，請參閱「匯出 Google Cloud 記錄檔」。
- 雲端資產中繼資料：如要進一步瞭解這個選項，請參閱「匯出資產中繼資料 Google Cloud 」。
- Security Center Premium 發現項目：如要進一步瞭解這個選項，請參閱「匯出 Security Center Premium 發現項目」。
在「客戶匯出篩選器設定」部分下，設定匯出篩選器，自訂傳送至 Google SecOps 的 Cloud Logging 資料。請參閱Google Cloud 支援匯出的記錄類型。
如要將其他機構的記錄匯入相同的 Google SecOps 例項，請從「機構」選單中選取該機構，然後重複上述步驟，定義匯出資料類型和匯出篩選條件。「Organization」選單中會列出多個機構。
如要將機密資料保護資料 (先前稱為 Google Cloud Data Loss Prevention 資料) 匯出至 Google SecOps，請參閱「匯出機密資料保護資料」。

為 Google 管理的專案設定擷取作業

如果 Google Cloud 擁有專案，請按照下列步驟設定從 Google Cloud 機構直接擷取至 Google SecOps 執行個體：

在 Google Cloud 控制台中，依序前往「Google SecOps」 >「總覽」 >「擷取」分頁。前往 Google SecOps 的「擷取」分頁
按一下「管理機構攝入設定」按鈕。
如果畫面顯示「無法查看專案的頁面」訊息，請選取機構，然後按一下「選取」。
在「1-time Google SecOps access code」欄位中輸入一次性存取碼。
勾選「我同意條款及細則，允許 Google SecOps 使用我的 Google Cloud 資料」。
點選「連結 Google SecOps」。
前往機構的「全域攝入設定」分頁。
啟用下列一或多個選項，選取要傳送的資料類型：
- Google Cloud Logging：如要進一步瞭解這個選項，請參閱「匯出 Google Cloud 記錄檔」。
- 雲端資產中繼資料：如要進一步瞭解這個選項，請參閱「匯出資產中繼資料 Google Cloud 」。
- Security Center Premium 發現項目：如要進一步瞭解這個選項，請參閱「匯出 Security Center Premium 發現項目」。
前往「匯出篩選器設定」分頁。
在「客戶匯出篩選器設定」部分下，設定匯出篩選器，自訂傳送至 Google SecOps 的 Cloud Logging 資料。請參閱Google Cloud 支援匯出的記錄類型。
如要將機密資料保護資料 (先前稱為 Google Cloud Data Loss Prevention 資料) 匯出至 Google SecOps，請參閱「匯出機密資料保護資料」。

匯出 Google Cloud 記錄

啟用 Cloud Logging 後，您可以將支援的Google Cloud 記錄類型的記錄資料匯出至 Google SecOps 執行個體。

如要將記錄匯出至 Google SecOps，請將「啟用 Cloud 記錄」切換鈕設為「已啟用」。 Google Cloud

支援匯出的記錄類型

您可以自訂匯出篩選器，將記錄匯出至 Google SecOps。新增或移除下列清單中列出的支援匯出篩選器，即可納入或排除記錄檔類型：

您可以將下列 Google Cloud 記錄類型匯出至 Google SecOps 執行個體。以下清單按記錄類型和對應的 Google SecOps 攝入標籤分類：

Cloud 稽核記錄 (GCP_CLOUDAUDIT)：

包括管理員活動、系統事件、資料存取透明化和政策拒絕記錄。
- log_id("cloudaudit.googleapis.com/activity") (由預設篩選器匯出)
- log_id("cloudaudit.googleapis.com/data_access") (由預設篩選器匯出)
- log_id("cloudaudit.googleapis.com/system_event") (由預設篩選器匯出)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
Cloud NAT 記錄 (GCP_CLOUD_NAT)：
- log_id("compute.googleapis.com/nat_flows")
Cloud DNS 記錄 (GCP_DNS)：
- log_id("dns.googleapis.com/dns_queries") (由預設篩選器匯出)
Cloud Next Generation Firewall 記錄檔 (GCP_FIREWALL)：
- log_id("compute.googleapis.com/firewall")
GCP_IDS：
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING：

包括 Google Cloud Armor 和 Cloud Load Balancing 的記錄。
- log_id("requests")
GCP_CLOUDSQL：
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM：
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
- log_id("osconfig.googleapis.com/patch_job")
LINUX_SYSMON：
- log_id("sysmon.raw")
WINEVTLOG：
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON：
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE：
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD：
- log_id("audit_log")
GCP_APIGEE_X：
- log_id("apigee.googleapis.com/ingress_instance")
- log_id("apigee.googleapis.com")
- log_id("apigee-logs")
- log_id("apigee")
- logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
GCP_RECAPTCHA_ENTERPRISE：
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN：
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE：
- log_id("networksecurity.googleapis.com/firewall_threat")
GCP_ABUSE_EVENTS：
- log_id("abuseevent.googleapis.com/abuseevent")

自訂匯出篩選器設定

根據預設，Cloud 稽核記錄 (管理員活動和系統事件) 和 Cloud DNS 記錄會傳送至 Google SecOps 例項。不過，您可以自訂匯出篩選器，加入或排除特定類型的記錄。

如要為記錄檔定義自訂篩選器，請按照下列步驟操作：

使用記錄範圍工具找出自訂篩選器的記錄。
在日誌範圍工具後方的「自動產生的記錄篩選器」專區中，複製產生的自訂記錄篩選器程式碼。
前往 Google Cloud 控制台的「Google SecOps」頁面，然後選取專案。
前往 Google SecOps 頁面
使用「Export Filter Settings」分頁標籤上的連結，啟動 Logs Explorer。
將新查詢複製到「Query」欄位，然後按一下「Run Query」測試查詢。
將新查詢複製到「Logs Explorer」 >「Query」欄位，然後按一下「Run Query」進行測試。
請確認 Logs Explorer 中顯示的符合記錄與您要匯出至 Google SecOps 的記錄完全相符。篩選器完成後，請將其複製到 Google SecOps 的「自訂匯出篩選器設定」部分。
返回 Google SecOps 頁面，然後前往「自訂匯出篩選器設定」部分。
按一下「Export filter」欄位中的「Edit」圖示，然後將複製的篩選器貼到該欄位中。
按一下 [儲存]。
- 如果系統顯示以下錯誤訊息：「The provided filter can potentially allow unsupported log types」，表示匯出篩選器可能包含不支援的記錄類型。從匯出篩選器中移除不支援的記錄類型。僅包含「Google Cloud 可匯出的記錄類型」中列出的記錄類型。
- 如果儲存成功，新的自訂篩選器就會套用至匯出至 Google SecOps 例項的所有新記錄。
- 選用步驟：如要將匯出篩選器重設為預設版本，請儲存自訂篩選器的副本，然後按一下「重設為預設」。

調整 Cloud 稽核記錄篩選器

Cloud Audit Logs 寫入的資料存取記錄可能會產生大量資料，但這些資料對威脅偵測的價值不大。如果您選擇將這些記錄傳送至 Google SecOps，請篩除日常活動產生的記錄。

下列匯出篩選器會擷取資料存取記錄，並排除大量事件，例如 Cloud Storage 和 Cloud SQL 的 Read 和 List 作業：

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

如要進一步瞭解如何調整 Cloud 稽核記錄產生的資料存取記錄，請參閱「管理資料存取稽核記錄的數量」。

匯出篩選器範例

以下匯出篩選器範例說明如何在匯出至 Google SecOps 執行個體時，納入或排除特定類型的記錄。

匯出篩選器範例：納入其他記錄檔類型

除了預設記錄外，下列匯出篩選器也會匯出資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

匯出篩選器範例：加入特定專案的其他記錄

除了預設記錄外，下列匯出篩選器也會匯出特定專案的資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

匯出篩選器範例：加入特定資料夾中的其他記錄檔

除了預設記錄外，下列匯出篩選器也會匯出特定資料夾中的資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

匯出篩選器範例：排除特定專案的記錄

下列匯出篩選器會匯出整個 Google Cloud 機構的預設記錄，但不包括特定專案：

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

匯出 Google Cloud 資產中繼資料

您可以將 Google Cloud 資產中繼資料從 Cloud Asset Inventory 匯出至 Google SecOps。這項資產中繼資料取自 Cloud Asset Inventory，其中包含資產、資源和身分的相關資訊，包括：

環境
位置
可用區
硬體型號
資源和身分之間的存取權控管關係

以下類型的 Google Cloud 資產中繼資料會匯出至 Google SecOps 執行個體：

GCP_BIGQUERY_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_STORAGE_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_SQL_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT

以下是 Google Cloud 資產中繼資料的範例：

應用程式名稱：Google-iamSample/0.1
專案名稱：projects/my-project

Google Cloud

如要將資產中繼資料匯出至 Google SecOps，請將「Cloud Asset Metadata」切換按鈕設為「Enabled」。 Google Cloud

如要進一步瞭解內容解析器，請參閱「Google SecOps 內容解析器」。

匯出 Security Command Center 發現項目

您可以將 Security Command Center Premium 的 Event Threat Detection 發現項目和所有其他發現項目匯出至 Google SecOps。

如要進一步瞭解 ETD 檢測結果，請參閱「Event Threat Detection 總覽」。

如要將 Security Command Center 進階方案發現項目匯出至 Google SecOps，請將「Security Command Center Premium 發現項目」切換按鈕設為「已啟用」。

匯出 Sensitive Data Protection 資料

您可以將機密資料保護資料匯出至 Google SecOps。

如要擷取 Sensitive Data Protection 資產中繼資料 (DLP_CONTEXT)，請執行下列操作：

完成本文件先前的部分，即可啟用 Google Cloud 資料擷取功能。
將 Sensitive Data Protection 設為「profile data」。
將掃描設定設為將資料剖析發布至 Google SecOps。

如要進一步瞭解如何為 BigQuery 資料建立資料剖析檔，請參閱 Sensitive Data Protection 說明文件。

停用 Google Cloud 資料擷取

視 Google SecOps 的設定方式而定，停用直接擷取 Google Cloud 資料的步驟會有所不同。選擇下列其中一個選項：

如果您的 Google SecOps 執行個體已綁定您擁有及管理的專案，請執行下列步驟：
1. 選取已綁定至 Google SecOps 執行個體的專案。
2. 在 Google Cloud 控制台中，前往「Google SecOps」下方的「擷取」分頁。
  前往 Google SecOps 頁面
3. 在「機構」選單中，選取要匯出記錄的機構。
4. 將「將資料傳送至 Google Security Operations」切換鈕設為「停用」。
5. 如果您已設定多個機構單位的資料匯出作業，且也想停用這些作業，請為每個機構執行這些步驟。
如果您的 Google SecOps 執行個體已綁定至 Google Cloud 擁有並管理的專案，請執行下列步驟：

注意： 完成這些步驟後，您必須向 Google SecOps 代表取得新的一次性存取代碼，並完成啟用來自 Google Cloud的直接擷取功能，以便重新啟動 Google Cloud 記錄擷取作業。
1. 在 Google Cloud 控制台中，依序前往「Google SecOps」 >「擷取」頁面。
  前往 Google SecOps 頁面
2. 在資源選單中，選取已綁定至 Google SecOps 例項，且您要從中擷取資料的機構。
3. 勾選「我希望中斷與 Google SecOps 的連結，並停止將記錄傳入 Google SecOps」。 Google Cloud
4. 按一下「Disconnect Google SecOps」。

控管擷取率

當租用戶的資料攝入率達到特定門檻時，Google 安全作業會限制新資料動態饋給的攝入率，以免攝入率高的來源影響其他資料來源的攝入率。在這種情況下，系統會出現延遲，但不會遺失任何資料。系統會根據擷取量和租用戶的用量記錄來決定閾值。

如要要求提高頻率限制，請與 Cloud Customer Care 團隊聯絡。

疑難排解

如果 Google SecOps 執行個體中缺少資源和身分之間的關聯，請先停用，然後再重新啟用直接擷取記錄資料至 Google SecOps 的功能。
Google Cloud 資產中繼資料會定期匯入 Google SecOps。變更需要幾小時才會顯示在 Google SecOps UI 和 API 中。
將記錄類型新增至匯出篩選器時，您可能會看到以下訊息：「您提供的篩選器可能會加入不支援的記錄類型」。

解決方法：請只將下列清單中的記錄檔類型加入匯出篩選器：Google Cloud 匯出支援的記錄檔類型。

後續步驟

使用 Google SecOps 代表提供的客戶專屬網址，開啟 Google SecOps 執行個體。
進一步瞭解 Google SecOps。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。