Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten

Auf dieser Seite finden Sie Informationen dazu, wie Sie Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen, verwalten und Probleme beheben. Die Verwaltung der Feeds umfasst das Ändern, Aktivieren und Löschen der Feeds.

Hinweise

Für jeden Datenfeed gelten eigene Voraussetzungen, die erfüllt sein müssen, bevor der Feed in Google Security Operations eingerichtet werden kann. Informationen zu den spezifischen Voraussetzungen für einen Feedtyp finden Sie unter Konfiguration nach Quelltyp. Suchen Sie nach dem Datenfeedtyp, den Sie einrichten möchten, und folgen Sie der Anleitung.

Unterstützte Komprimierungsformate

Zu den unterstützten Komprimierungsformaten für die Feedaufnahme gehören: .gz, .tar.gz, .tar, .targz und solr.gz.

Feed hinzufügen

So fügen Sie Ihrem Google Security Operations-Konto einen Feed hinzu:

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus. Die auf dieser Seite aufgeführten Datenfeeds umfassen alle Feeds, die Google für Ihr Konto konfiguriert hat, sowie die von Ihnen konfigurierten Feeds.

2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen). Das Fenster Feed hinzufügen wird angezeigt.

3. Fügen Sie einen Feednamen hinzu.

1. Wählen Sie in der Liste Quelltyp den Quelltyp aus, über den Sie Daten in Google Security Operations einspeisen möchten. Folgende Feedquellentypen stehen zur Auswahl:

   • Amazon Data Firehose
   • Amazon S3
   • Amazon SQS
   • Cloud Pub/Sub
   • Google Cloud Storage
   • HTTP(S)-Dateien (keine API)
   • Microsoft Azure Blob Storage
   • Drittanbieter-API
   • Webhook

2. Wählen Sie in der Liste Logtyp den Logtyp aus, der den Logs entspricht, die Sie aufnehmen möchten. Welche Protokolle verfügbar sind, hängt davon ab, welchen Quelltyp Sie zuvor ausgewählt haben. Klicken Sie auf Next.

   Wenn Sie Google Cloud Storage als Quelltyp auswählen, verwenden Sie die Option Dienstkonto abrufen, um ein eindeutiges Dienstkonto zu erhalten. Weitere Informationen finden Sie in diesem Dokument unter Beispiel für die Einrichtung eines Google Cloud Storage-Feeds.

3. Geben Sie die erforderlichen Parameter auf dem Tab Eingabeparameter an. Die hier aufgeführten Optionen variieren je nach Quelle und Protokolltyp, die auf dem Tab Eigenschaften festlegen ausgewählt wurden. Bewegen Sie den Mauszeiger bei jedem Feld auf das Fragezeichensymbol, um weitere Informationen zu den erforderlichen Angaben zu erhalten.

4. Optional: Sie können hier einen Namespace angeben. Weitere Informationen zu Namespaces finden Sie in der Dokumentation zum Asset-Namespace.

5. Klicken Sie auf Weiter.

6. Prüfen Sie die neue Feedkonfiguration auf dem Tab Abschließen. Klicken Sie auf Senden, wenn Sie fertig sind. Google Security Operations führt eine Validierungsüberprüfung des neuen Feeds durch. Wenn der Feed die Prüfung besteht, wird ein Name für den Feed generiert, er wird an Google Security Operations gesendet und Google Security Operations versucht, Daten abzurufen.

   

Quelldateien löschen

Bei mehreren Feedtypen, einschließlich Cloud Storage, gibt es im Workflow Neu hinzufügen oder Feed bearbeiten ein Feld mit der Bezeichnung OPTION ZUM LÖSCHEN DER QUELLE. Dieses Menü enthält drei Optionen:

1. Dateien nie löschen
2. Übertragene Dateien und leere Verzeichnisse löschen
3. Übertragene Dateien löschen

Bei den Optionen 2 und 3 werden Dateien gelöscht: eine für Dateien und eine für Dateien und alle leeren Verzeichnisse. Wenn Sie eine dieser Optionen auswählen, müssen Sie die Berechtigungen für Ihren Feedtyp hinzufügen. Informationen zu Berechtigungen, die für einen Feedtyp spezifisch sind, finden Sie unter Konfiguration nach Quelltyp.

Mit dieser Option können Sie ein Objekt aus dem Speichersystem löschen, nachdem Sie es übertragen haben. In Feeds wird immer gespeichert, welche Objekte (oder Dateien) übertragen wurden. Es wird nie dieselbe Datei zweimal übertragen (es sei denn, sie wurde aktualisiert). Sie müssen diese Option jedoch festlegen, wenn das System das Quellobjekt nach der (erfolgreichen) Übertragung löschen soll.

Das Löschen von Quelldateien wird von Microsoft Azure Blob Storage nicht unterstützt. Die folgenden Optionen zum Löschen von Quellen dürfen nicht mit dem Quelltyp „Microsoft Azure Blob Storage“ verwendet werden:

• Übertragene Dateien und leere Verzeichnisse löschen
• Übertragene Dateien löschen

Wenn Sie einen Feed mit der Quelle „Microsoft Azure Blob Storage“ erstellen, wählen Sie nur die Option Dateien nie löschen aus.

Pub/Sub-Push-Feed einrichten

So richten Sie einen Pub/Sub-Push-Feed ein:

1. Erstellen Sie einen Pub/Sub-Push-Feed.
2. Geben Sie die Endpunkt-URL in einem Pub/Sub-Abo an.

Pub/Sub-Pushfeed erstellen

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Quelltyp die Option Google Cloud Pub/Sub-Push aus.
5. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie benötigen diese Endpunkt-URL, um ein Push-Abo in Pub/Sub zu erstellen.
11. Wenn Sie den Feed deaktivieren möchten, klicken Sie auf den Schalter Feed aktiviert. Der Feed ist standardmäßig aktiviert.
12. Klicken Sie auf Fertig.

Endpunkt-URL angeben

Nachdem Sie einen Pub/Sub-Push-Feed erstellt haben, erstellen Sie in Pub/Sub ein Push-Abo, geben Sie den HTTPS-Endpunkt an und aktivieren Sie die Authentifizierung.

1. Erstellen Sie ein Push-Abo in Pub/Sub. Weitere Informationen zum Erstellen eines Push-Abos finden Sie unter Push-Abos erstellen.
2. Geben Sie die Endpunkt-URL an, die im Google Cloud Pub/Sub-Pushfeed verfügbar ist.
3. Wählen Sie Authentifizierung aktivieren und ein Dienstkonto aus.

Amazon Data Firehose-Feed einrichten

So richten Sie einen Amazon Data Firehose-Feed ein:

1. Erstellen Sie einen Amazon Data Firehose-Feed und kopieren Sie die Endpunkt-URL und den geheimen Schlüssel.
2. Erstellen Sie einen API-Schlüssel, um sich bei Google Security Operations zu authentifizieren. Sie können auch Ihren vorhandenen API-Schlüssel wiederverwenden, um sich bei Google Security Operations zu authentifizieren.
3. Geben Sie die Endpunkt-URL in Amazon Data Firehose an.

Amazon Data Firehose-Feed erstellen

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Quelltyp die Option Amazon Data Firehose aus.
5. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Generierung eines neuen geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie benötigen diese Endpunkt-URL, wenn Sie die Zieleinstellungen für Ihren Übermittlungsstream in Amazon Data Firehose angeben.
13. Wenn Sie den Feed deaktivieren möchten, klicken Sie auf den Schalter Feed aktiviert. Der Feed ist standardmäßig aktiviert.
14. Klicken Sie auf Fertig.

API-Schlüssel für den Amazon Data Firehose-Feed erstellen

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
3. Beschränken Sie den API-Schlüsselzugriff auf die Chronicle API.

Endpunkt-URL angeben

Geben Sie in Amazon Data Firehose den HTTPS-Endpunkt und den Zugriffsschlüssel an.

1. Hängen Sie den API-Schlüssel an die URL des Feedendpunkts an und geben Sie diese URL im folgenden Format als HTTP-Endpunkt-URL an:

     ENDPOINT_URL?key=API_KEY
   

   Ersetzen Sie Folgendes:

   • ENDPOINT_URL: die URL des Feedendpunkts.
   • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google Security Operations.

2. Geben Sie als Zugriffsschlüssel den geheimen Schlüssel an, den Sie beim Erstellen des Amazon Data Firehose-Feeds erhalten haben.

HTTPS-Webhook-Feed einrichten

So richten Sie einen HTTPS-Webhook-Feed ein:

1. Erstellen Sie einen HTTPS-Webhook-Feed und kopieren Sie die Endpunkt-URL und den geheimen Schlüssel.
2. Erstellen Sie einen API-Schlüssel, der mit der Endpunkt-URL angegeben ist. Sie können auch Ihren vorhandenen API-Schlüssel wiederverwenden, um sich bei Google Security Operations zu authentifizieren.
3. Geben Sie die Endpunkt-URL in Ihrer Anwendung an.

Vorbereitung

• Achten Sie darauf, dass ein Google Cloud-Projekt für Google Security Operations konfiguriert ist und die Chronicle API für das Projekt aktiviert ist.

• Verknüpfen Sie eine Google Security Operations-Instanz mit Google Cloud-Diensten.

HTTPS-Webhook-Feed erstellen

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
5. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Generierung eines neuen geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
13. Wenn Sie den Feed deaktivieren möchten, klicken Sie auf den Schalter Feed aktiviert. Der Feed ist standardmäßig aktiviert.
14. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
3. Beschränken Sie den API-Schlüsselzugriff auf die Chronicle API.

Endpunkt-URL angeben

1. Geben Sie in Ihrer Clientanwendung den HTTPS-Endpunkt an, der im Webhook-Feed verfügbar ist.

2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und das Secret als Teil des benutzerdefinierten Headers im folgenden Format angeben:

   X-goog-api-key = API_KEY

   X-Webhook-Access-Key = SECRET

   Wir empfehlen, den API-Schlüssel als Header anzugeben, anstatt ihn in der URL anzugeben. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

     ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Ersetzen Sie Folgendes:

   • ENDPOINT_URL: die URL des Feedendpunkts.
   • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google Security Operations authentifizieren.
   • SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Beispiel für die Einrichtung eines Google Cloud Storage-Feeds

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
3. Wählen Sie als Quelltyp die Option Google Cloud Storage aus.
4. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für Google Kubernetes Engine-Audit-Logs erstellen möchten, wählen Sie Google Kubernetes Engine-Audit-Logs als Logtyp aus.
5. Klicken Sie auf Dienstkonto abrufen. Google Security Operations stellt ein eindeutiges Dienstkonto bereit, das Google Security Operations zum Aufnehmen von Daten verwendet.
6. Konfigurieren Sie den Zugriff des Dienstkontos auf die Cloud Storage-Objekte. Weitere Informationen finden Sie in diesem Dokument unter Zugriff auf das Dienstkonto von Google Security Operations gewähren.
7. Klicken Sie auf Weiter.
8. Geben Sie basierend auf der von Ihnen erstellten Cloud Storage-Konfiguration Werte für die folgenden Felder an:
   • URI des Speicher-Buckets
   • URI ist ein
   • Option zum Löschen von Quellen
9. Klicken Sie auf Weiter und dann auf Senden.

Zugriff auf das Google Security Operations-Dienstkonto gewähren

1. Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
   

   Buckets aufrufen

2. Gewähren Sie dem Dienstkonto Zugriff auf die entsprechenden Cloud Storage-Objekte.

   • So gewähren Sie einer bestimmten Datei die Leseberechtigung:

     1. Wählen Sie die Datei aus und klicken Sie auf Zugriff bearbeiten.
     2. Klicken Sie auf Hauptkonto hinzufügen.
     3. Geben Sie im Feld Neue Hauptkonten den Namen des Dienstkontos für Google Security Operations ein.
     4. Weisen Sie dem Dienstkonto für Google Security Operations eine Rolle mit der Leseberechtigung zu. Beispiel: Storage-Objekt-Betrachter (roles/storage.objectViewer). Das ist nur möglich, wenn Sie den einheitlichen Zugriff auf Bucket-Ebene nicht aktiviert haben.
     5. Klicken Sie auf Speichern.

   • Wenn Sie mehreren Dateien Leseberechtigungen erteilen möchten, müssen Sie den Zugriff auf Bucket-Ebene gewähren. Sie müssen dem Dienstkonto von Google Security Operations ein Hauptkonto für Ihren Speicher-Bucket hinzufügen und ihm die IAM-Rolle Storage Object Viewer (roles/storage.objectViewer) zuweisen.

     Wenn Sie den Feed so konfigurieren, dass Quelldateien gelöscht werden, müssen Sie dem Dienstkonto „Google Security Operations“ ein Hauptkonto für Ihren Bucket hinzufügen und ihm die IAM-Rolle Storage-Objekt-Administrator (roles/storage.objectAdmin) zuweisen.

VPC Service Controls konfigurieren

Wenn VPC Service Controls aktiviert ist, ist eine Ingress-Regel erforderlich, um Zugriff auf den Cloud Storage-Bucket zu gewähren.

Die folgenden Cloud Storage-Methoden müssen in der Ingress-Regel zulässig sein:

• google.storage.objects.list. Erforderlich für einen Feed mit einer einzelnen Datei.
• google.storage.objects.get: Erforderlich für Feeds, für die der Zugriff auf ein Verzeichnis oder ein Unterverzeichnis erforderlich ist.
• google.storage.objects.delete. Erforderlich für Feeds, bei denen die Quelldatei gelöscht werden muss.

Beispiel für eine Regel für eingehenden Traffic

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Feed status

Sie können den Status des Feeds auf der Seite Feeds im Blick behalten. Feeds können folgende Status haben:

• Aktiv: Der Feed ist konfiguriert und kann Daten in Ihr Google Security Operations-Konto aufnehmen.
• In Bearbeitung: Google Security Operations versucht jetzt, Daten vom konfigurierten Drittanbieter abzurufen.
• Abgeschlossen: Daten wurden über diesen Feed erfolgreich abgerufen.
• Archiviert: Deaktivierter Feed.

• Fehlgeschlagen: Daten können nicht aus dem Feed abgerufen werden. Das liegt wahrscheinlich an einem Konfigurationsproblem. Klicken Sie auf die Frage, um den Konfigurationsfehler aufzurufen. Nachdem Sie den Fehler korrigiert und den Feed noch einmal eingereicht haben, kehren Sie zur Seite Feeds zurück, um zu prüfen, ob der Feed jetzt funktioniert.

Feeds bearbeiten

Auf der Seite Feeds können Sie einen vorhandenen Feed bearbeiten:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf Vertikale Dreipunkt-Menüsymbol.

2. Klicken Sie auf Feed bearbeiten. Sie können jetzt die Eingabeparameter für den Feed ändern und ihn noch einmal an Google Security Operations senden. Google Security Operations versucht, den bearbeiteten Feed zu verwenden.

Feeds aktivieren und deaktivieren

In der Spalte Status sind aktivierte Feeds mit Aktiv, In Bearbeitung, Abgeschlossen oder Fehlgeschlagen gekennzeichnet. Deaktivierte Felder sind als Archiviert gekennzeichnet. Eine Beschreibung finden Sie unter Feedstatus.

Auf der Seite Feeds können Sie vorhandene Feeds aktivieren oder deaktivieren:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf Vertikale Dreipunkt-Menüsymbol.

2. Wenn Sie einen Feed aktivieren möchten, klicken Sie auf den Schalter Feed aktivieren.

3. Wenn Sie einen Feed deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche Feed deaktivieren. Der Feed ist jetzt als Archiviert gekennzeichnet.

Feeds löschen

Auf der Seite Feeds können Sie auch einen vorhandenen Feed löschen:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf Vertikale Dreipunkt-Menüsymbol.

2. Klicken Sie auf Feed löschen. Das Fenster „FEED LÖSCHEN“ wird geöffnet. Wenn Sie den Feed endgültig löschen möchten, klicken Sie auf Ja, löschen.

Datenaufnahmerate steuern

Wenn die Datenaufnahmerate für einen Tenant einen bestimmten Grenzwert erreicht, schränkt Google Security Operations die Aufnahmerate für neue Datenfeeds ein, um zu verhindern, dass eine Quelle mit einer hohen Aufnahmerate die Aufnahmerate einer anderen Datenquelle beeinträchtigt. In diesem Fall kommt es zu einer Verzögerung, aber es gehen keine Daten verloren. Der Grenzwert wird durch das Aufnahmevolumen und den Nutzungsverlauf des Tenants bestimmt.

Sie können eine Erhöhung des Grenzwerts für die Rate anfordern, indem Sie sich an den Cloud-Kundendienst wenden.

Fehlerbehebung

Auf der Seite Feeds finden Sie Details wie den Quelltyp, den Logtyp, die Feed-ID und den Status der vorhandenen Feeds:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf Vertikale Dreipunkt-Menüsymbol.

2. Klicken Sie auf Feed ansehen. Ein Dialogfeld mit den Feeddetails wird angezeigt. Bei einem fehlgeschlagenen Feed finden Sie Fehlerdetails unter Details > Status.

Bei einem fehlgeschlagenen Feed enthalten die Details die Ursache des Fehlers und Schritte zur Behebung. In der folgenden Tabelle werden die Fehlermeldungen beschrieben, die beim Arbeiten mit Datenfeeds auftreten können.