Cette page a été traduite par l'API Cloud Translation.

Ingérer des données Google Cloud dans Google Security Operations

Cette page explique comment activer et désactiver l'ingestion de vos données Google Cloud dans Google Security Operations. Google Security Operations vous permet de stocker, de rechercher d'examiner les informations agrégées de sécurité de votre entreprise mois ou plus, selon la durée de conservation de vos données.

Présentation

Deux options s'offrent à vous pour envoyer des données Google Cloud à Google Security Operations. Le choix de l'option appropriée dépend du type de journal.

Option 1: ingestion directe

Un filtre Cloud Logging spécial peut être configuré dans Google Cloud pour envoyer des types de journaux spécifiques à Google Security Operations en temps réel. Ces journaux sont générés par les services Google Cloud.

Google Security Operations reçoit les journaux, même s'ils sont exclus au niveau du projet dans Google Cloud, mais incluses dans le filtre d'exportation des journaux et au niveau de l'organisation la journalisation Google Cloud. Pour exclure les journaux de Google Security Operations, vous devez mettre à jour le filtre d'exportation des journaux Google Security Operations dans Google Cloud.

Les types de journaux disponibles incluent:

Cloud Audit Logging
Cloud NAT
Cloud DNS
Pare-feu Cloud nouvelle génération
Cloud Intrusion Detection System
Cloud Load Balancing
Cloud SQL
Journaux des événements Windows
syslog Linux
Système système Linux
Zeek
Google Kubernetes Engine
Daemon Audit (auditd)
Apigee
reCAPTCHA Enterprise
Journaux Cloud Run (GCP_RUN)
Pare-feu Cloud nouvelle génération

Collecter les journaux Compute Engine ou d'application (Apache, Nginx ou IIS, par exemple), utilisez l'option 2. Envoyez également une demande d'assistance à Google Security Operations pour donner votre avis à prendre en compte en tant que type de journal à l'aide de l'option 1.

Pour en savoir plus sur les filtres de journaux spécifiques et d'autres informations sur l'ingestion, consultez Exporter des journaux Google Cloud vers Google Security Operations

Métadonnées Google Cloud supplémentaires à utiliser comme contexte à des fins d'enrichissement peuvent également être envoyés à Google Security Operations. Voir Exporter les métadonnées d'éléments Google Cloud vers Google Security Operations pour en savoir plus.

Option 2: Google Cloud Storage

Cloud Logging peut acheminer les journaux vers Google Security Operations doit récupérer Cloud Storage de manière programmée.

Pour savoir comment configurer Cloud Storage pour Google Security Operations, consultez Gestion des flux: Cloud Storage.

Avant de commencer

Avant de pouvoir ingérer vos données Google Cloud dans votre instance Google Security Operations, vous devez procéder comme suit:

Contactez votre représentant Google Security Operations pour obtenir l'accès unique dont vous avez besoin pour ingérer vos données Google Cloud.
Accordez les rôles IAM suivants. nécessaire pour accéder à la section "Google Security Operations" :
- Administrateur de service Chronicle (roles/chroniclesm.admin): rôle IAM pour exécuter toutes les activités.
- Lecteur du service Chronicle (roles/chroniclesm.viewer): rôle IAM permettant uniquement d'afficher l'état d'ingestion.
- Éditeur de l'administrateur du centre de sécurité (roles/securitycenter.adminEditor): obligatoire pour permettre l'ingestion de métadonnées d'éléments cloud ;
Si vous envisagez d'activer les métadonnées d'éléments cloud, vous devez également activer service Google Cloud du niveau Standard ou Premium de Security Command Center. Consultez Activer Security Command Center pour une organisation. pour en savoir plus.

Accorder des rôles IAM

Vous pouvez attribuer les rôles IAM requis à l'aide de la console Google Cloud ou la gcloud CLI.

Pour attribuer des rôles IAM à l'aide de la console Google Cloud, procédez comme suit:

Connectez-vous à l'organisation Google Cloud à laquelle vous souhaitez vous connecter, puis accédez à celle-ci. l'écran IAM en sélectionnant Produits > IAM et Admin > Cloud IAM.
Sur l'écran IAM, sélectionnez l'utilisateur, puis cliquez sur Modifier le membre.

Remarque :Si vous n'êtes pas dans la vue "Organisation" d'IAM, le bouton Modifier le membre est désactivée, et vous devez accéder à l'écran IAM de l'organisation.
Sur l'écran "Modifier les autorisations", cliquez sur Ajouter un autre rôle et recherchez "Google Security Operations". pour trouver les rôles IAM.
Une fois que vous avez attribué les rôles, cliquez sur Enregistrer.

Pour attribuer des rôles IAM à l'aide de Google Cloud CLI, procédez comme suit:

Vérifiez que vous êtes connecté à la bonne organisation. Vérifiez cela en exécutant la commande gcloud init.
Pour accorder le rôle IAM d'administrateur du service Chronicle à l'aide de gcloud, procédez comme suit : exécutez la commande suivante:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Remplacez les éléments suivants :
- ORGANIZATION_ID: ID numérique de l'organisation.
- USER_EMAIL: adresse e-mail de l'administrateur.
Pour accorder le rôle IAM "Lecteur du service Google Security Operations" à l'aide de gcloud, procédez comme suit : exécutez la commande suivante:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```
Pour accorder le rôle Éditeur de l'administrateur du centre de sécurité à l'aide de gcloud, procédez comme suit : exécutez la commande suivante:
```
 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`
```

Activer l'ingestion de données Google Cloud

Les données Google Cloud sont ingérées à l'aide d'une API interne privée entre Security Command Center. et Google Security Operations. L'ingestion n'atteint jamais le réseau externe et n'utilise jamais d'adresses IP. Google accède aux journaux Google Cloud directement sur l'authentification effectuée à l'aide du code à usage unique fourni par Google Security Operations pour Security Command Center.

Pour permettre l'ingestion de données de votre organisation Google Cloud dans Google Security Operations , procédez comme suit:

Accédez à la page "Google Security Operations" de la console Google Cloud.
Accéder à la page Google Security Operations
Saisissez votre code d'accès à usage unique dans le code d'accès unique Google Security Operations. .
Pour autoriser Google Security Operations à utiliser, cochez la case J'accepte les conditions d'utilisation de mes données Google Cloud par Chronicle.
Cliquez sur Connect Google Security Operations (Connecter Google Security Operations).

Vos données Google Cloud vont maintenant être envoyées à Google Security Operations. Vous pouvez utiliser les fonctionnalités d'analyse de Google Security Operations pour examiner tout problème lié à la sécurité. Les sections suivantes décrivent comment ajuster les types de données Google Cloud qui seront envoyés à Google Security Operations

Exporter les journaux Google Cloud vers Google Security Operations

Vous pouvez exporter les types de données Google Cloud suivants vers votre instance Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportés par le filtre par défaut)
- log_id("cloudaudit.googleapis.com/system_event") (exporté par le filtre par défaut)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exporté par le filtre par défaut)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Cela inclut les journaux de Google Cloud Armor et de Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajustez l'expression régulière du filtre de journal si nécessaire.
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Pour exporter vos journaux Google Cloud vers Google Security Operations, définissez les journaux Google Cloud pour activer l'option. Tous les types de journaux Google Cloud listés ci-dessus seront exportés à votre instance Google Security Operations.

Pour connaître les bonnes pratiques concernant les filtres de journaux à utiliser, consultez Analyse des journaux de sécurité dans Google Cloud

Exporter les paramètres des filtres

Par défaut, vos journaux d'audit Cloud (activités d'administration et événements système) et Cloud DNS les journaux sont envoyés à votre compte Google Security Operations. Vous pouvez toutefois personnaliser filtre d'exportation pour inclure ou exclure des types spécifiques de journaux. Le filtre d'exportation est basé sur le langage de requête de journalisation Google.

Pour définir un filtre personnalisé pour vos journaux, procédez comme suit:

Définissez votre filtre en créant un filtre personnalisé pour vos journaux à l'aide du module langage de requête. La documentation suivante explique comment définir ce type de filtre: /logging/docs/view/logging-query-language
Accédez à l'explorateur de journaux à l'aide du lien fourni dans l'onglet Export Filter Settings (Exporter les paramètres du filtre), copiez votre nouvelle requête dans le champ Query (Requête), puis cliquez sur Run Query (Exécuter la requête) pour la tester.

Vérifiez que les journaux correspondants affichés dans l'explorateur de journaux correspondent exactement à ce que vous souhaitez exporter vers Google Security Operations.

Effectuez les étapes suivantes à partir de l'onglet Export Filter Settings (Paramètres du filtre d'exportation) :

Lorsque le filtre est prêt, cliquez sur l'icône de modification et collez-le dans le champ Exporter le filtre.
Cliquez sur Enregistrer le filtre personnalisé. Votre nouveau filtre personnalisé s'applique les journaux exportés vers votre compte Google Security Operations.
Vous pouvez rétablir la version par défaut du filtre d'exportation en cliquant sur Rétablir les valeurs par défaut. Assurez-vous d'abord d'enregistrer une copie de votre filtre personnalisé.

Régler les filtres de journaux Cloud Audit Logs

Les journaux Cloud Audit d'accès aux données peuvent générer un grand volume de journaux de détection des menaces. Si vous choisissez d'envoyer ces journaux à Google Security Operations, vous devez filtrer les journaux générés par les activités de routine.

Le filtre d'exportation suivant enregistre les journaux d'accès aux données et exclut les volumes importants tels que les opérations de lecture et de liste de Cloud Storage et de Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Pour en savoir plus sur le réglage des journaux d'accès aux données Cloud Audit Data, cliquez ici.

Exporter les exemples de filtres

Les exemples de filtres d'exportation suivants montrent comment inclure ou exclure l'exportation de certains types de journaux vers votre compte Google Security Operations.

Exemple de filtre d'exportation 1: Inclure des types de journaux supplémentaires

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemple de filtre d'exportation 2: Inclure les journaux supplémentaires d'un projet spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un projet spécifique. en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation 3: Inclure les journaux supplémentaires d'un dossier spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un dossier spécifique. en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation 4: Exclure les journaux d'un projet spécifique

Le filtre d'exportation suivant permet d'exporter les journaux par défaut de l'ensemble de Google Cloud à l'exception d'un projet spécifique:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporter les métadonnées d'éléments Google Cloud vers Google Security Operations

Vous pouvez exporter les métadonnées de vos éléments Google Cloud vers Google Security Operations. Ces métadonnées d'éléments sont extraites de votre inventaire d'éléments Google Cloud et comprennent : des informations sur vos éléments, vos ressources et vos identités, y compris:

Environnement
Emplacement
Zone
Modèles de matériel
Relations de contrôle d'accès entre les ressources et les identités

Voici les types spécifiques de métadonnées d'éléments Google Cloud vers votre compte Google Security Operations:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Voici quelques exemples de métadonnées d'éléments Google Cloud:

Nom de l'application : Google-iamSample/0.1
Nom du projet : projects/my-project

Voici quelques exemples de champs de journal de contexte Resource Manager : assetType, resource.data.name, et resource.version.

Pour en savoir plus sur les types de ressources, consultez Types de ressources compatibles avec l'inventaire des éléments cloud.

Pour exporter les métadonnées de vos éléments Google Cloud vers Google Security Operations, définissez le paramètre Activez l'option Métadonnées d'éléments cloud.

Documentation de référence sur le mappage de champs et types de ressources compatibles

Le tableau suivant répertorie les analyseurs de contexte compatibles avec Google Security Operations, l'étiquette d'ingestion correspondante et les types de ressources compatibles.

Pour afficher la documentation de référence sur le mappage de l'analyseur de contexte, cliquez sur l'icône le nom de l'analyseur de contexte correspondant dans la table.

Nom du service	Étiquette d'ingestion	Types de ressources acceptés
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Exporter les résultats de Security Command Center vers Google Security Operations

Vous pouvez exporter les événements Event Threat Detection (ETD) de Security Command Center Premium résultats et tous les autres résultats à Google Security Operations.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la présentation de Security Command Center.

Pour exporter les résultats de Security Command Center Premium vers Google Security Operations, définissez Activez l'option Résultats Premium de Security Command Center.

Exporter les données de protection des données sensibles vers Google Security Operations

Pour ingérer les métadonnées d'éléments de la protection des données sensibles (DLP_CONTEXT), procédez comme suit:

Remplissez la section précédente de ce document pour activer l'ingestion de données Google Cloud.
Configurez la protection des données sensibles pour profiler les données.
Configurez la configuration d'analyse pour publier des profils de données. à Google Security Operations.

Consultez la documentation sur la protection des données sensibles pour en savoir plus. sur la création de profils pour les données BigQuery.

Désactiver l'ingestion de données Google Cloud

Cochez la case Je souhaite déconnecter Google Security Operations et arrêter d'envoyer des journaux Google Cloud à Google Security Operations.
Cliquez sur Déconnecter Google Security Operations.

Dépannage

Si les relations entre les ressources et les identités sont absentes de votre système Google Security Operations, définissez l'option Export Cloud logs to Google Security Operations (Exporter les journaux Cloud vers Google Security Operations). basculez sur "Désactivé", puis sur "Activé".
Les métadonnées des éléments sont régulièrement ingérées dans Google Security Operations. Il peut s'écouler plusieurs heures avant que les modifications soient visibles dans l'interface utilisateur et les API de Google Security Operations.

Étape suivante

Ouvrir votre compte Google Security Operations à l'aide de l'URL spécifique au client fournis par votre représentant Google Security Operations.
En savoir plus sur Google Security Operations