Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten

Auf dieser Seite finden Sie Informationen dazu, wie Sie Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen, verwalten und Probleme beheben. Die Feedverwaltung umfasst das Ändern, Aktivieren und um die Feeds zu löschen.

Hinweise

Für jeden Datenfeed gelten bestimmte Voraussetzungen, die erfüllt sein müssen, bevor Einrichten des Feeds in Google Security Operations Informationen zu den spezifischen Voraussetzungen für einen Feedtyp finden Sie unter Konfiguration nach Quelltyp. Suchen Sie nach dem Datenfeed-Typ, den Sie einrichten möchten, und folgen Sie der Anleitung.

Unterstützte Komprimierungsformate

Zu den unterstützten Komprimierungsformaten für die Feedaufnahme gehören: .gz, .tar.gz, .tar, .targz und solr.gz.

Feed hinzufügen

So fügen Sie Ihrem Google Security Operations-Konto einen Feed hinzu: Sie können für jeden Logtyp bis zu fünf Feeds hinzufügen.

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus. Die auf dieser Seite aufgeführten Datenfeeds umfassen alle Feeds, die Google konfiguriert hat. für Ihr Konto zusätzlich zu den Feeds, die Sie konfiguriert haben.

2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen). Das Fenster Feed hinzufügen wird angezeigt.

3. Fügen Sie einen Feednamen hinzu.

1. Wählen Sie in der Liste Quelltyp den Quelltyp aus, über den Sie Daten in Google Security Operations einspeisen möchten. Folgende Feedquellentypen stehen zur Auswahl:

   • Amazon Data Firehose
   • Amazon S3
   • Amazon SQS
   • Cloud Pub/Sub
   • Google Cloud Storage
   • HTTP(S)-Dateien (keine API)
   • Microsoft Azure Blob Storage
   • Drittanbieter-API
   • Webhook

2. Wählen Sie in der Liste Logtyp den Logtyp aus, der den Logs entspricht, die Sie aufnehmen möchten. Welche Protokolle verfügbar sind, hängt davon ab, welchen Quelltyp Sie zuvor ausgewählt haben. Klicken Sie auf Next.

   Wenn Sie als Quelltyp Google Cloud Storage auswählen, verwenden Sie die Option Dienstkonto abrufen. um ein eindeutiges Dienstkonto abzurufen. Sehen Sie sich in diesem Dokument das Beispiel für die Einrichtung eines Google Cloud Storage-Feeds an.

3. Geben Sie die erforderlichen Parameter auf dem Tab Eingabeparameter an. Die hier aufgeführten Optionen variieren je nach Quelle und Protokolltyp, die auf dem Tab Eigenschaften festlegen ausgewählt wurden. Bewegen Sie den Mauszeiger über das Fragesymbol eines Felds, um zusätzliche Informationen zu den erforderlichen Angaben zu erhalten.

4. (Optional) Hier können Sie einen Namespace angeben. Weitere Informationen zu Namespaces finden Sie in der Dokumentation zu Asset-Namespaces.

5. Klicken Sie auf Weiter.

6. Prüfen Sie die neue Feedkonfiguration auf dem Tab Abschließen. Klicken Sie abschließend auf Senden. Google Security Operations führt eine Validierungsüberprüfung des neuen Feeds durch. Wenn der Feed die Prüfung besteht, wird ein Name für den Feed generiert und an Google Security Operations gesendet. Anschließend versucht Google Security Operations, Daten abzurufen.

   

Quelldateien löschen

Bei mehreren Feedtypen, einschließlich Cloud Storage, gibt es im Workflow Neu hinzufügen oder Feed bearbeiten ein Feld mit der Bezeichnung OPTION ZUM LÖSCHEN DER QUELLE. Dieses Menü enthält drei Optionen:

1. Dateien nie löschen
2. Übertragene Dateien und leere Verzeichnisse löschen
3. Übertragene Dateien löschen

Bei den Optionen 2 und 3 werden Dateien gelöscht: eine für Dateien und eine für Dateien und alle leeren Verzeichnisse. Wenn Sie eine dieser Optionen auswählen, müssen Sie die Berechtigungen die für Ihren Feedtyp spezifisch sind. Informationen zu Berechtigungen, die für einen Feedtyp spezifisch sind, finden Sie unter Konfiguration nach Quelltyp.

Mit dieser Option können Sie ein Objekt nach der Übertragung aus dem Speichersystem löschen. Feeds speichern immer, welche Objekte (oder Dateien) übertragen wurden, und übertragen dieselbe Datei nie zweimal (es sei denn, sie wurde aktualisiert). Sie müssen diese Option jedoch festlegen, wenn das System das Quellobjekt nach der (erfolgreichen) Übertragung löschen soll.

Das Löschen von Quelldateien wird von Microsoft Azure Blob Storage nicht unterstützt. Die folgenden Optionen zum Löschen von Quellen dürfen nicht mit dem Quelltyp „Microsoft Azure Blob Storage“ verwendet werden:

• Übertragene Dateien und leere Verzeichnisse löschen
• Übertragene Dateien löschen

Wenn Sie einen Feed mit der Quelle „Microsoft Azure Blob Storage“ erstellen, wählen Sie nur die Option Dateien nie löschen aus.

Pub/Sub-Push-Feed einrichten

So richten Sie einen Pub/Sub-Push-Feed ein:

1. Erstellen Sie einen Pub/Sub-Push-Feed.
2. Geben Sie die Endpunkt-URL in einem Pub/Sub-Abo an.

Pub/Sub-Pushfeed erstellen

1. Wählen Sie im Menü von Google Security Operations Settings (Einstellungen) aus und klicken Sie dann auf Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Source type (Quelltyp) die Option Google Cloud Pub/Sub Push aus.
5. Wählen Sie den Logtyp aus. Wenn Sie beispielsweise einen Feed für Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie benötigen diese Endpunkt-URL, um ein Push-Abo in Pub/Sub zu erstellen.
11. Klicken Sie auf die Ein/Aus-Schaltfläche Feed aktiviert, um den Feed zu deaktivieren. Der Feed ist standardmäßig aktiviert.
12. Klicken Sie auf Fertig.

Endpunkt-URL angeben

Nachdem Sie einen Pub/Sub-Push-Feed erstellt haben, erstellen Sie in Pub/Sub ein Push-Abo, geben Sie den HTTPS-Endpunkt an und aktivieren Sie die Authentifizierung.

1. Erstellen Sie ein Push-Abo in Pub/Sub. Weitere Informationen zum Erstellen eines Push-Abos finden Sie unter Push-Abos erstellen.
2. Geben Sie die Endpunkt-URL an, die im Google Cloud Pub/Sub-Pushfeed verfügbar ist.
3. Wählen Sie Authentifizierung aktivieren und dann ein Dienstkonto aus.

Amazon Data Firehose-Feed einrichten

So richten Sie einen Amazon Data Firehose-Feed ein:

1. Erstellen Sie einen Amazon Data Firehose-Feed und kopieren Sie die Endpunkt-URL und den geheimen Schlüssel.
2. Erstellen Sie einen API-Schlüssel, um sich bei Google Security Operations zu authentifizieren. Sie können Ihre vorhandener API-Schlüssel für die Authentifizierung bei Google Security Operations.
3. Geben Sie die Endpunkt-URL in Amazon Data Firehose an.

Amazon Data Firehose-Feed erstellen

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Source type (Quelltyp) die Option Amazon Data Firehose aus.
5. Wählen Sie den Protokolltyp aus. Wenn Sie beispielsweise einen Feed für das Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Log-Typ aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Neugenerierung des geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
12. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie benötigen diese Endpunkt-URL, wenn Sie die Zieleinstellungen für Ihre in Amazon Data Firehose.
13. Wenn Sie den Feed deaktivieren möchten, klicken Sie auf den Schalter Feed aktiviert. Der Feed ist standardmäßig aktiviert.
14. Klicken Sie auf Fertig.

API-Schlüssel für den Amazon Data Firehose-Feed erstellen

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

Geben Sie in Amazon Data Firehose den HTTPS-Endpunkt und den Zugriffsschlüssel an.

1. Hängen Sie den API-Schlüssel an die Feedendpunkt-URL an und geben Sie diese URL im folgenden Format als HTTP-Endpunkt-URL an:

     ENDPOINT_URL?key=API_KEY
   

   Ersetzen Sie Folgendes:

   • ENDPOINT_URL: die URL des Feed-Endpunkts.
   • API_KEY: der API-Schlüssel zur Authentifizierung bei Google Security Operations.

2. Geben Sie als Zugriffsschlüssel den geheimen Schlüssel an, den Sie beim Erstellen des Amazon Data Firehose-Feeds erhalten haben.

HTTPS-Webhook-Feed einrichten

So richten Sie einen HTTPS-Webhook-Feed ein:

1. Erstellen Sie einen HTTPS-Webhook-Feed und kopieren Sie die Endpunkt-URL und den geheimen Schlüssel.
2. Erstellen Sie einen API-Schlüssel, der mit der Endpunkt-URL angegeben ist. Sie können auch Ihren vorhandenen API-Schlüssel wiederverwenden, um sich bei Google Security Operations zu authentifizieren.
3. Geben Sie die Endpunkt-URL in Ihrer Anwendung an.

Vorbereitung

• Achten Sie darauf, dass ein Google Cloud-Projekt für Google Security Operations konfiguriert ist. und die Chronicle API für das Projekt aktiviert ist.
• Google Security Operations-Instanz mit Google Cloud-Diensten verknüpfen

HTTPS-Webhook-Feed erstellen

1. Wählen Sie im Menü von Google Security Operations Settings (Einstellungen) aus und klicken Sie dann auf Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
4. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
5. Wählen Sie den Logtyp aus. Wenn Sie beispielsweise einen Feed für Open Cybersecurity Schema Framework erstellen möchten, wählen Sie Open Cybersecurity Schema Framework (OCSF) als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Split-Trennzeichen: das Trennzeichen, das zum Trennen von Protokollzeilen verwendet wird, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Neugenerierung des geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
12. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
13. Klicken Sie auf die Ein/Aus-Schaltfläche Feed aktiviert, um den Feed zu deaktivieren. Der Feed ist standardmäßig aktiviert.
14. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

1. Geben Sie in Ihrer Clientanwendung den HTTPS-Endpunkt an, der im Webhook-Feed verfügbar ist.

2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers angeben im folgenden Format:

   X-goog-api-key = API_KEY

   X-Webhook-Access-Key = SECRET

   Wir empfehlen, den API-Schlüssel als Header anzugeben, anstatt ihn anzugeben in der URL. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Abfrageparametern im folgenden Format angeben:

     ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Ersetzen Sie Folgendes:

   • ENDPOINT_URL: die URL des Feed-Endpunkts.
   • API_KEY: der API-Schlüssel zur Authentifizierung bei Google Security Operations.
   • SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Beispiel für die Einrichtung eines Google Cloud Storage-Feeds

1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen und dann Feeds aus.
2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
3. Wählen Sie als Quelltyp die Option Google Cloud Storage aus.
4. Wählen Sie den Logtyp aus. Um beispielsweise einen Feed für die Google Kubernetes Engine zu erstellen, Wählen Sie Google Kubernetes Engine-Audit-Logs als Logtyp aus.
5. Klicken Sie auf Dienstkonto abrufen. Google Security Operations bietet ein eindeutiges Dienstkonto die Google Security Operations zur Datenaufnahme verwendet.
6. Konfigurieren Sie den Zugriff für das Dienstkonto auf die Cloud Storage-Objekte. Weitere Informationen finden Sie in diesem Dokument unter Zugriff auf das Google Security Operations-Dienstkonto gewähren.
7. Klicken Sie auf Weiter.
8. Geben Sie basierend auf der von Ihnen erstellten Cloud Storage-Konfiguration Werte für die folgenden Felder an:
   • Storage-Bucket-URI
   • URI ist ein
   • Option zum Löschen der Quelle
9. Klicken Sie auf Weiter und dann auf Senden.

Zugriff auf das Google Security Operations-Dienstkonto gewähren

1. Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
   

   Buckets aufrufen

2. Gewähren Sie dem Dienstkonto Zugriff auf die entsprechenden Cloud Storage-Objekte.

   • So gewähren Sie Leseberechtigungen für eine bestimmte Datei:

     1. Wählen Sie die Datei aus und klicken Sie auf Zugriff bearbeiten.
     2. Klicken Sie auf Hauptkonto hinzufügen.
     3. Geben Sie im Feld Neue Hauptkonten den Namen des Dienstkontos für Google Security Operations ein.
     4. Weisen Sie dem Google Security Operations-Dienstkonto eine Rolle mit Leseberechtigung zu. Beispiel: Storage-Objekt-Betrachter (roles/storage.objectViewer). Dies ist nur möglich, wenn Sie den einheitlichen Zugriff auf Bucket-Ebene nicht aktiviert haben.
     5. Klicken Sie auf Speichern.

   • Um Lesezugriff auf mehrere Dateien zu gewähren, müssen Sie den Zugriff auf der Seite Bucket-Ebene. Sie müssen das Google Security Operations-Dienstkonto zu Ihren Storage-Bucket und weisen Sie ihm die IAM-Rolle Storage Object Viewer (roles/storage.objectViewer) zu.

     Wenn Sie den Feed zum Löschen von Quelldateien konfigurieren, müssen Sie die Google Security Operations-Elemente hinzufügen Dienstkonto als Hauptkonto für Ihren Bucket zu und gewähren Sie ihm die IAM-Rolle Storage-Objekt-Administrator (roles/storage.objectAdmin).

VPC Service Controls konfigurieren

Wenn VPC Service Controls aktiviert ist, ist eine Ingress-Regel erforderlich, um Zugriff auf den Cloud Storage-Bucket zu gewähren.

Die folgenden Cloud Storage-Methoden müssen in der Regel für eingehenden Traffic zulässig sein:

• google.storage.objects.list. Erforderlich für einen Feed mit einer einzelnen Datei.
• google.storage.objects.get: Erforderlich für Feeds, für die der Zugriff auf ein Verzeichnis oder ein Unterverzeichnis erforderlich ist.
• google.storage.objects.delete. Erforderlich für Feeds, bei denen die Quelldatei gelöscht werden muss.

Beispiel für eine Regel für eingehenden Traffic

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Feed status

Sie können den Status des Feeds auf der Seite Feeds verfolgen. Feeds können folgende Status haben:

• Aktiv: Der Feed ist konfiguriert und kann Daten in Ihr Google Security Operations-Konto aufnehmen.
• In Bearbeitung: Google Security Operations versucht jetzt, Daten vom konfigurierten Drittanbieter abzurufen.
• Abgeschlossen: Daten wurden über diesen Feed erfolgreich abgerufen.
• Archiviert: Feed wurde deaktiviert.

• Fehlgeschlagen: Der Feed kann keine Daten abrufen. Dies ist wahrscheinlich auf ein Konfigurationsproblem zurückzuführen. Klicken Sie auf die Frage, um den Konfigurationsfehler anzuzeigen. Nachdem Sie den Fehler korrigiert und den Feed noch einmal eingereicht haben, kehren Sie zur Seite Feeds zurück, um zu prüfen, ob der Feed jetzt funktioniert.

Feeds bearbeiten

Auf der Seite Feeds können Sie einen vorhandenen Feed bearbeiten:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf das Dreipunkt-Menü.

2. Klicken Sie auf Feed bearbeiten. Sie können jetzt die Eingabeparameter für den Feed ändern und ihn noch einmal an Google Security Operations senden. Google Security Operations versucht, den bearbeiteten Feed zu verwenden.

Feeds aktivieren und deaktivieren

In der Spalte Status sind aktivierte Feeds mit Aktiv, In Bearbeitung, Abgeschlossen oder Fehlgeschlagen gekennzeichnet. Deaktivierte Felder sind als Archiviert gekennzeichnet. Eine Beschreibung finden Sie unter Feedstatus.

Auf der Seite Feeds können Sie vorhandene Feeds aktivieren oder deaktivieren:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf das Dreipunkt-Menü.

2. Wenn Sie einen Feed aktivieren möchten, klicken Sie auf den Schalter Feed aktivieren.

3. Wenn Sie einen Feed deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche Feed deaktivieren. Der Feed hat jetzt das Label Archiviert.

Feeds löschen

Sie können auf der Seite Feeds auch einen vorhandenen Feed löschen:

1. Bewegen Sie den Mauszeiger über einen vorhandenen Feed und klicken Sie auf . more_vert in die rechten Spalte ein.

2. Klicken Sie auf Feed löschen. Das Fenster FEED LÖSCHEN wird geöffnet. Wenn Sie den Feed endgültig löschen möchten, klicken Sie auf Ja, löschen.

Aufnahmegeschwindigkeit steuern

Wenn die Datenaufnahmerate für einen Mandanten einen bestimmten Grenzwert erreicht, Google Security Operations schränkt die Aufnahmerate für neue Datenfeeds ein, um zu verhindern, eine Quelle mit einer hohen Aufnahmerate die Aufnahmerate einer anderen Datenquelle verwendet werden. In diesem Fall tritt eine Verzögerung auf, aber es gehen keine Daten verloren. Die Aufnahme Volumen und Nutzungsverlauf des Mandanten bestimmen den Schwellenwert.

Sie können eine Erhöhung des Ratenlimits anfordern, indem Sie sich an den Cloud-Kundendienst wenden.

Fehlerbehebung

Auf der Seite Feeds können Sie Details wie Quellentyp, Protokolltyp, Feed-ID und Status der vorhandenen Feeds ansehen:

1. Bewegen Sie den Mauszeiger auf einen vorhandenen Feed und klicken Sie in der rechten Spalte auf das Dreipunkt-Menü.

2. Klicken Sie auf Feed ansehen. Ein Dialogfeld mit den Feeddetails wird angezeigt. Bei einem fehlgeschlagenen Feed finden Sie Fehlerdetails unter Details > Status.

Bei einem fehlgeschlagenen Feed enthalten die Details die Ursache des Fehlers und Schritte zur Behebung. In der folgenden Tabelle werden die Fehlermeldungen beschrieben, die bei der Arbeit mit Daten-Feeds auftreten können.