Google Cloud-Daten in Google Security Operations aufnehmen
Auf dieser Seite wird beschrieben, wie Sie die Aufnahme Ihrer Google Cloud-Daten aktivieren und deaktivieren. in Google Security Operations ein. Mit Google Security Operations können Sie die aggregierten Sicherheitsinformationen für Ihr Unternehmen je nach Datenaufbewahrungsdauer mindestens Monate oder länger.
Übersicht
Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die Auswahl der richtigen Option hängt vom Logtyp ab.
Option 1: Direkte Aufnahme
In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Protokolltypen in Echtzeit an Google Security Operations senden. Diese Logs werden generiert von Google Cloud-Diensten.
Google Security Operations erhält Logs auch dann, wenn sie auf Projektebene ausgeschlossen sind in Google Cloud, aber sowohl im Logexportfilter als auch auf Organisationsebene enthalten Google Cloud-Logging Wenn Sie Protokolle aus Google Security Operations ausschließen möchten, müssen Sie Filter für den Export von Google Security Operations-Logs in Google Cloud.
Zu den verfügbaren Logtypen gehören:
- Cloud-Audit-Logs
- Cloud NAT
- Cloud DNS
- Firewall der nächsten Generation
- Cloud Intrusion Detection System
- Cloud Load Balancing
- Cloud SQL
- Windows-Ereignisprotokolle
- Linux-Syslog
- Linux Sysmon
- Zeek
- Google Kubernetes Engine
- Audit-Daemon (geprüft)
- Apigee
- reCAPTCHA Enterprise
- Cloud Run-Logs (
GCP_RUN
) - Firewall der nächsten Generation
So erfassen Sie Compute Engine- oder Anwendungslogs wie Apache, Nginx oder IIS, wählen Sie Option 2. Erstellen Sie außerdem ein Support-Ticket bei Google Security Operations, um Feedback zu geben. für die künftige Unterstützung als Logtyp mit Option 1.
Informationen zu bestimmten Logfiltern und weiteren Datenaufnahmedetails finden Sie unter Exportieren von Google Cloud-Logs nach Google Security Operations
Zusätzliche Google Cloud-Metadaten, die als Kontext für Anreicherungszwecke verwendet werden können auch an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Google Security Operations exportieren .
Option 2: Google Cloud Storage
Cloud Logging kann Logs weiterleiten, Cloud Storage, der von Google Security Operations regelmäßig abgerufen wird.
Weitere Informationen zum Konfigurieren von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.
Hinweise
Bevor Sie Ihre Google Cloud-Daten in Ihre Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:
Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, um den einmaligen Zugriff zu erhalten. Code, den Sie zum Aufnehmen Ihrer Google Cloud-Daten benötigen.
Weisen Sie die folgenden IAM-Rollen zu. erforderlich, damit Sie auf den Abschnitt „Google Security Operations“ zugreifen können:
- Chronicle Service Admin (
roles/chroniclesm.admin
): IAM-Rolle für die Ausführung Aktivitäten. - Chronicle Service Viewer (
roles/chroniclesm.viewer
): IAM-Rolle zum Ansehen den Status der Aufnahme. - Sicherheitscenter-Admin-Bearbeiter (
roles/securitycenter.adminEditor
): Erforderlich für die Aufnahme von Cloud Asset Metadata aktivieren
- Chronicle Service Admin (
Wenn Sie Cloud Asset Metadata aktivieren möchten, müssen Sie auch Folgendes aktivieren: Standard- oder Premium-Stufe von Security Command Center als Google Cloud-Dienst. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren. .
IAM-Rollen zuweisen
Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder über über die gcloud CLI.
So weisen Sie IAM-Rollen über die Google Cloud Console zu:
- Melden Sie sich bei der Google Cloud-Organisation an, zu der Sie eine Verbindung herstellen möchten, und gehen Sie zu über den IAM-Bildschirm unter Produkte > IAM und Verwaltung > IAM
Wählen Sie im IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.
Klicken Sie im Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach „Google Security Operations“. finden Sie die IAM-Rollen.
Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.
Führen Sie die folgenden Schritte aus, um IAM-Rollen mit der Google Cloud CLI zuzuweisen:
Sie müssen in der richtigen Organisation angemeldet sein. Führen Sie den folgenden Befehl aus, um dies zu überprüfen: den Befehl
gcloud init
.So gewähren Sie die IAM-Rolle „Chonicle Service Admin“ mit
gcloud
: führen Sie den folgenden Befehl aus:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.admin
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: die numerische Organisations-ID.USER_EMAIL
ist die E-Mail-Adresse des Administrators.
So gewähren Sie mit
gcloud
die IAM-Rolle „Google Security Operations Service Viewer“: führen Sie den folgenden Befehl aus:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.viewer
So gewähren Sie mit
gcloud
die Rolle „Sicherheitscenter-Administratorbearbeiter“: führen Sie den folgenden Befehl aus:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/securitycenter.adminEditor`
Google Cloud-Datenaufnahme aktivieren
Google Cloud-Daten werden über eine private interne API zwischen Security Command Center aufgenommen und Google Security Operations. Die Aufnahme erreicht nie das externe Netzwerk und verwendet niemals IP-Adressen. Google greift direkt auf Basis zur Authentifizierung, die mit dem von Google Security Operations bereitgestellten Einmalcode durchgeführt wird für Security Command Center.
Datenaufnahme aus Ihrer Google Cloud-Organisation in Ihre Google Security Operations ermöglichen Instanz führen Sie die folgenden Schritte aus:
Rufen Sie die Seite „Google Security Operations“ für die Google Cloud Console auf.
Zur Google Security Operations-SeiteGeben Sie Ihren einmaligen Zugriffscode als einmaligen Google Security Operations-Zugriffscode ein ein.
Wenn Sie der Nutzung von Google Security Operations zustimmen möchten, klicken Sie auf das Kästchen Ich stimme zu Nutzungsbedingungen für die Nutzung meiner Google Cloud-Daten durch Chronicle
Klicken Sie auf Connect Google Security Operations (Google Security Operations verbinden).
Ihre Google Cloud-Daten werden jetzt an Google Security Operations gesendet. Sie können die Analysefunktionen von Google Security Operations verwenden, um sicherheitsbezogene Probleme zu untersuchen. In den folgenden Abschnitten wird beschrieben, wie Sie die Arten von Google Cloud-Daten anpassen können, die an Google Security Operations gesendet werden.
Google Cloud-Logs nach Google Security Operations exportieren
Sie können die folgenden Arten von Google Cloud-Daten in Ihre Google Security Operations-Instanz exportieren:
- GCP_CLOUDAUDIT:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("cloudaudit.googleapis.com/activity") (durch den Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/system_event") (durch den Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
- GCP_CLOUD_NAT:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("compute.googleapis.com/nat_flows")
- GCP_DNS:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("dns.googleapis.com/dns_queries") (durch den Standardfilter exportiert)
- GCP_FIREWALL:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("compute.googleapis.com/firewall")
- GCP_IDS:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
- GCP_LOADBALANCING:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Dazu gehören Logs aus Google Cloud Armor und Cloud Load Balancing
- GCP_CLOUDSQL:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
- NIX_SYSTEM:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
- LINUX_SYSMON:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("sysmon.raw")
- WINEVTLOG:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("winevt.raw")
- log_id("windows_event_log")
- BRO_JSON:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
- KUBERNETES_NODE:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("events")
- log_id("stdout")
- log_id("stderr")
- GEPRÜFT:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("audit_log")
- GCP_APIGEE_X:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Passen Sie den regulären Ausdruck des Logfilters nach Bedarf an
- GCP_RECAPTCHA_ENTERPRISE:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
- GCP_RUN:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
- GCP_NGFW_ENTERPRISE:
<ph type="x-smartling-placeholder">
- </ph>
- log_id("networksecurity.googleapis.com/firewall_threat")
Legen Sie die Google Cloud-Logs fest, um Ihre Google Cloud-Logs nach Google Security Operations zu exportieren. aktivieren. Alle oben aufgeführten Google Cloud-Logtypen werden exportiert zu Ihrer Google Security Operations-Instanz.
Best Practices zur Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud
Filtereinstellungen exportieren
Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivität und Systemereignis) und Cloud DNS Protokolle werden an Ihr Google Security Operations-Konto gesendet. Sie können die Exportfilter, um bestimmte Logtypen ein- oder auszuschließen. Der Exportfilter ist basierend auf der Logging-Abfragesprache von Google.
So definieren Sie einen benutzerdefinierten Filter für Ihre Logs:
Definieren Sie Ihren Filter, indem Sie mithilfe des Loggings einen benutzerdefinierten Filter für Ihre Logs erstellen. Abfragesprache. In der folgenden Dokumentation wird beschrieben, wie Sie diese Filterart definieren: /logging/docs/view/logging-query-language
Rufen Sie den Log-Explorer über den Link auf dem Tab Filtereinstellungen exportieren auf. Kopieren Sie Ihre neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.
Prüfen Sie, ob die im Log-Explorer angezeigten übereinstimmenden Logs genau den Logs entsprechen, die Sie nach Google Security Operations exportieren möchten.
Führen Sie auf dem Tab Filtereinstellungen exportieren die folgenden Schritte aus:
Wenn der Filter fertig ist, klicken Sie auf das Bearbeitungssymbol und fügen Sie ihn in das Feld Filter exportieren ein.
Klicken Sie auf Benutzerdefinierten Filter speichern. Der neue benutzerdefinierte Filter wird auf alle neuen in Ihr Google Security Operations-Konto exportierte Protokolle.
Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie Ihres benutzerdefinierten Filters.
Filter für Cloud-Audit-Logs abstimmen
Cloud-Audit-Datenzugriffslogs können ein großes Logvolumen ohne viel Aufwand generieren Wert der Bedrohungserkennung. Wenn Sie diese Protokolle an Google Security Operations senden, sollten Sie durch Routineaktivitäten generierte Logs herausfiltern.
Mit dem folgenden Exportfilter werden Datenzugriffslogs erfasst und ein hohes Volumen ausgeschlossen Ereignisse wie Lese- und Listenvorgänge von Cloud Storage und Cloud SQL:
( `log_id("cloudaudit.googleapis.com/data_access")`
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Weitere Informationen zum Abstimmen von Cloud-Audit-Datenzugriffslogs finden Sie hier.
Beispiele für Exportfilter
Die folgenden Beispiele für Exportfilter veranschaulichen, wie Sie bestimmte Arten von Protokollen nicht in Ihr Google Security Operations-Konto exportiert werden.
Exportfilter – Beispiel 1: Zusätzliche Logtypen einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Access Transparency-Logs exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Exportfilter – Beispiel 2: Zusätzliche Logs aus einem bestimmten Projekt einschließen
Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Projekt exportiert. zusätzlich zu den Standardlogs:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Exportfilter – Beispiel 3: Zusätzliche Logs aus einem bestimmten Ordner einschließen
Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Ordner exportiert. zusätzlich zu den Standardlogs:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Filterbeispiel 4: Logs aus einem bestimmten Projekt ausschließen
Mit dem folgenden Exportfilter werden die Standardlogs aus der gesamten Google Cloud exportiert mit Ausnahme eines bestimmten Projekts:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Google Cloud-Asset-Metadaten nach Google Security Operations exportieren
Sie können Ihre Asset-Metadaten von Google Cloud nach Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Google Cloud Asset Inventory und umfassen Folgendes: Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:
- Umgebung
- Ort
- Zone
- Hardwaremodelle
- Zugriffskontrollbeziehungen zwischen Ressourcen und Identitäten
Im Folgenden sind die spezifischen Typen von Google Cloud-Asset-Metadaten aufgeführt, die in Ihr Google Security Operations-Konto exportiert werden:
- GCP_BIGQUERY_CONTEXT
- GCP_CLOUD_FUNCTIONS_CONTEXT
- GCP_COMPUTE_CONTEXT
- GCP_IAM_CONTEXT
- GCP_IAM_ANALYSIS
- GCP_KUBERNETES_CONTEXT
- GCP_NETWORK_CONNECTIVITY_CONTEXT
- GCP_RESOURCE_MANAGER_CONTEXT
- GCP_SQL_CONTEXT
- GCP_STORAGE_CONTEXT
Im Folgenden finden Sie einige Beispiele für Google Cloud-Asset-Metadaten:
- Name der Anwendung:
Google-iamSample/0.1
- Projektname:
projects/my-project
Beispiele für Kontextlogfelder von Resource Manager sind assetType
, resource.data.name
,
und resource.version
.
Weitere Informationen zu Ressourcentypen finden Sie unter Von Cloud Asset Inventory unterstützte Ressourcentypen.
Um Ihre Google Cloud-Asset-Metadaten nach Google Security Operations zu exportieren, legen Sie Aktivieren Sie die Option Cloud Asset Metadata.
Referenz für Feldzuordnung und unterstützte Ressourcentypen
In der folgenden Tabelle sind die Kontextparser aufgeführt, die von Google Security Operations unterstützt werden. das entsprechende Aufnahmelabel und die unterstützten Ressourcentypen.
Um die Referenzdokumentation für den Kontextparser aufzurufen, klicken Sie auf den entsprechenden Kontextparsernamen in der Tabelle.
Security Command Center-Ergebnisse nach Google Security Operations exportieren
Sie können Security Command Center Premium Event Threat Detection (ETD) exportieren. Ergebnisse und alle anderen Ergebnisse an Google Security Operations senden.
Weitere Informationen zu den Ergebnissen von Event Threat Detection finden Sie in der Übersicht zu Security Command Center.
Wenn Sie die Ergebnisse der Premium-Stufe von Security Command Center nach Google Security Operations exportieren möchten, legen Sie die Ein/Aus-Schaltfläche für Ergebnisse von Security Command Center Premium aktiviert.
Schutz sensibler Daten nach Google Security Operations exportieren
So nehmen Sie Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT
) auf:
- Aktivieren Sie die Google Cloud-Datenaufnahme, indem Sie den vorherigen Abschnitt in diesem Dokument abschließen.
- Konfigurieren Sie Sensitive Data Protection für Profildaten.
- Konfigurieren Sie die Scankonfiguration zum Veröffentlichen von Datenprofilen. an Google Security Operations.
Ausführliche Informationen finden Sie in der Dokumentation zum Schutz sensibler Daten. zum Erstellen von Datenprofilen für BigQuery-Daten.
Google Cloud-Datenaufnahme deaktivieren
Klicken Sie auf das Kästchen Ich möchte die Verbindung zu Google Security Operations trennen und das Senden von Google Cloud-Logs an Google Security Operations beenden.
Klicken Sie auf Verbindung zu Google Security Operations trennen.
Fehlerbehebung
- Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Google Security Operations-System die Option Cloud-Logs nach Google Security Operations exportieren wechseln Sie zu „Deaktiviert“ und dann wieder zu „Aktiviert“.
- Die Asset-Metadaten werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis Änderungen in der Google Security Operations-Benutzeroberfläche und in den APIs sichtbar sind.
Nächste Schritte
- Öffnen Sie Ihr Google Security Operations-Konto mit der kundenspezifischen URL die von Ihrem Google Security Operations-Mitarbeiter bereitgestellt wurden.
- Weitere Informationen zu Google Security Operations