Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed

Questa pagina fornisce informazioni su come creare, gestire e risolvere i problemi relativi ai feed utilizzando l'interfaccia utente di gestione dei feed. La gestione dei feed include la modifica, l'attivazione e l'eliminazione dei feed.

Prima di iniziare

Ogni feed di dati ha il proprio insieme di prerequisiti che devono essere completati prima la configurazione del feed in Google Security Operations. Per informazioni sui prerequisiti specifici a un tipo di feed, consulta Configurazione per tipo di origine. Cerca il tipo di feed di dati da impostare e segui le istruzioni fornite.

Formati di compressione supportati

I formati di compressione supportati per l'importazione del feed includono: .gz, .tar.gz, .tar, .targz e solr.gz.

Aggiungere un feed

Per aggiungere un feed al tuo account Google Security Operations, completa i seguenti passaggi. Puoi aggiungere fino a cinque feed per ogni tipo di log.

1. Nel menu Operazioni di sicurezza di Google, seleziona Impostazioni e poi fai clic su Feed. I feed di dati elencati in questa pagina includono tutti i feed configurati da Google per il tuo account, oltre a quelli configurati da te.

2. Fai clic su Add New (Aggiungi nuovo). Viene visualizzata la finestra Aggiungi feed.

3. Aggiungi un nome al feed.

1. Nell'elenco Tipo di origine, seleziona il tipo di origine tramite il quale intendi inserire i dati in Google Security Operations. Puoi scegliere tra i seguenti tipi di origini feed:

   • Amazon Data Firehose
   • Amazon S3
   • Amazon SQS
   • Google Cloud Pub/Sub
   • Google Cloud Storage
   • File HTTP(S) (non API)
   • Archiviazione blob di Microsoft Azure
   • API di terze parti
   • Webhook

2. Nell'elenco Tipo di log, seleziona il tipo di log corrispondente ai log che vuoi importare. I log disponibili variano a seconda del tipo di origine selezionato in precedenza. Fai clic su Avanti.

   Se selezioni Google Cloud Storage come tipo di origine, utilizza l'opzione Genera account di servizio per ottenere un account di servizio univoco. In questo documento, vedi l'esempio di configurazione del feed di Google Cloud Storage.

3. Specifica i parametri necessari dalla scheda Parametri di input. Le opzioni presentate qui variano in base alla sorgente e al tipo di log selezionati nella scheda Imposta proprietà. Passa il mouse sopra l'icona a forma di punto interrogativo per ciascun campo per visualizzare ulteriori informazioni su cosa devi fornire.

4. (Facoltativo) Puoi specificare uno spazio dei nomi qui. Per ulteriori informazioni sugli spazi dei nomi, consulta la documentazione relativa allo spazio dei nomi delle risorse.

5. Fai clic su Avanti.

6. Rivedi la configurazione del nuovo feed dalla scheda Concludi. Al termine, fai clic su Invia. Google Security Operations completa un controllo di convalida del nuovo feed. Se il feed supera il controllo, viene generato un nome per il feed, che viene inviato a Google Security Operations e Google Security Operations inizia a tentare di recuperare i dati.

   

Elimina file di origine

Per diversi tipi di feed, tra cui Cloud Storage, nel flusso di lavoro Aggiungi nuovo o Modifica feed è presente un campo denominato OPZIONE DI ELIMINAZIONE ORIGINE. Questo menu offre tre opzioni:

1. Non cancellare mai i file
2. Eliminare i file trasferiti e le directory vuote
3. Elimina file trasferiti

Le opzioni 2 e 3 prevedono l'eliminazione: una per i file e una per i file e qualsiasi elemento vuoto . Se selezioni una di queste opzioni, devi aggiungere le autorizzazioni specifiche per il tipo di feed. Per informazioni sulle autorizzazioni specifiche per un tipo di feed, consulta Configurazione in base al tipo di origine.

Questa opzione ti consente di eliminare un oggetto dal sistema di archiviazione dopo averlo trasferito. I feed ricordano sempre quali oggetti (o file) sono stati trasferiti e non trasferiscono mai lo stesso file due volte (a meno che non sia stato aggiornato), ma devi impostare questa opzione se desideri che il sistema elimini l'oggetto di origine dopo il trasferimento.

Archiviazione BLOB di Microsoft Azure non supporta l'eliminazione dei file di origine. Le seguenti opzioni di eliminazione delle origini non devono essere utilizzate con il tipo di origine Microsoft Azure Blob Storage:

• Eliminare i file trasferiti e le directory vuote
• Eliminare i file trasferiti

Quando crei un feed con l'origine Archiviazione BLOB di Microsoft Azure, seleziona solo l'opzione Non eliminare mai i file .

Configurare un feed push di Pub/Sub

Per configurare un feed push Pub/Sub:

1. Creare un feed push di Pub/Sub.
2. Specifica l'URL dell'endpoint in una sottoscrizione Pub/Sub.

Creare un feed push Pub/Sub

1. Dal menu Google Security Operations, seleziona Impostazioni, quindi fai clic su Feed.
2. Fai clic su Aggiungi nuovo.
3. Nel campo Nome feed, inserisci un nome per il feed.
4. Nell'elenco Tipo di origine, seleziona Push Pub/Sub di Google Cloud.
5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.
6. Fai clic su Avanti.
7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
   • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
   • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi da questo feed.
8. Fai clic su Avanti.
9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
10. Nella scheda Details, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. È necessario l'URL di questo endpoint per creare una sottoscrizione push in Pub/Sub.
11. Per disattivare il feed, fai clic sul pulsante di attivazione/disattivazione Feed abilitato. Il feed è attivo per impostazione predefinita.
12. Fai clic su Fine.

Specifica l'URL dell'endpoint

Dopo aver creato un feed push di Pub/Sub, in Pub/Sub, creare una sottoscrizione push, specificare l'endpoint HTTPS e abilitare l'autenticazione.

1. Crea una sottoscrizione push in Pub/Sub. Per ulteriori informazioni su come creare una sottoscrizione push, consulta Creare sottoscrizioni push.
2. Specifica l'URL dell'endpoint, disponibile nel feed push di Google Cloud Pub/Sub.
3. Seleziona Abilita autenticazione e seleziona un account di servizio.

Configurare un feed Amazon Data Firehose

Per configurare un feed Amazon Data Firehose:

1. Crea un feed Amazon Data Firehose e copia l'URL dell'endpoint e la chiave segreta.
2. Crea una chiave API per autenticarti in Google Security Operations. Puoi anche riutilizzare chiave API esistente per l'autenticazione in Google Security Operations.
3. Specifica l'URL dell'endpoint in Amazon Data Firehose.

Creare un feed Amazon Data Firehose

1. Nel menu Operazioni di sicurezza di Google, seleziona Impostazioni e poi fai clic su Feed.
2. Fai clic su Aggiungi nuovo.
3. Nel campo Nome feed, inserisci un nome per il feed.
4. Nell'elenco Tipo di origine, seleziona Amazon Data Firehose.
5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.
6. Fai clic su Avanti.
7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
   • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
   • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
8. Fai clic su Avanti.
9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
11. Copia e memorizza la chiave segreta perché non sarà più possibile visualizzarla. Puoi generare nuovamente una nuova chiave segreta, ma la rigenerazione della chiave segreta rende obsoleta la chiave segreta precedente.
12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Questo URL dell'endpoint è necessario quando specifichi le impostazioni di destinazione per lo stream di importazione in Amazon Data Firehose.
13. Per disattivare il feed, fai clic sul pulsante di attivazione/disattivazione Feed abilitato. Il feed è attivo per impostazione predefinita.
14. Fai clic su Fine.

Creare una chiave API per il feed Amazon Data Firehose

1. Vai alla pagina Credenziali della console Google Cloud.
2. Fai clic su Crea credenziali e poi seleziona Chiave API.
3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

In Amazon Data Firehose, specifica l'endpoint HTTPS e la chiave di accesso.

1. Aggiungi la chiave API all'URL dell'endpoint del feed e specifica questo URL come URL dell'endpoint HTTP nel seguente formato:

     ENDPOINT_URL?key=API_KEY
   

   Sostituisci quanto segue:

   • ENDPOINT_URL: l'URL dell'endpoint del feed.
   • API_KEY: la chiave API per l'autenticazione in Google Security Operations.

2. Per la chiave di accesso, specifica la chiave segreta ottenuta quando hai creato il feed Amazon Data Firehose.

Configurare un feed webhook HTTPS

Per configurare un feed webhook HTTPS:

1. Crea un feed webhook HTTPS e copia l'URL dell'endpoint e la chiave segreta.
2. Crea una chiave API specificata con l'URL dell'endpoint. Puoi anche riutilizza la chiave API esistente per autenticarti in Google Security Operations.
3. Specifica l'URL dell'endpoint nella tua applicazione.

Prerequisiti

• Assicurati che sia configurato un progetto Google Cloud per Google Security Operations e che l'API Chronicle sia abilitata per il progetto.
• Collega un'istanza di Google Security Operations ai servizi Google Cloud.

Creare un feed webhook HTTPS

1. Dal menu Google Security Operations, seleziona Impostazioni, quindi fai clic su Feed.
2. Fai clic su Aggiungi nuovo.
3. Nel campo Nome feed, inserisci un nome per il feed.
4. Nell'elenco Tipo di origine, seleziona Webhook.
5. Seleziona il Tipo di log. Ad esempio, per creare un feed per Open Cybersecurity Schema Framework, seleziona Open Cybersecurity Schema Framework (OCSF) come Tipo di log.
6. Fai clic su Avanti.
7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
   • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
   • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
8. Fai clic su Avanti.
9. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
11. Copia e memorizza la chiave segreta perché non sarà più possibile visualizzarla. Puoi generare nuovamente una nuova chiave segreta, ma la rigenerazione della chiave segreta rende obsoleta la chiave segreta precedente.
12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
13. Per disattivare il feed, fai clic sul pulsante di attivazione/disattivazione Feed attivato. Il feed è attivo per impostazione predefinita.
14. Fai clic su Fine.

Creare una chiave API per il feed webhook

1. Vai alla pagina Credenziali della console Google Cloud.
2. Fai clic su Crea credenziali e poi seleziona Chiave API.
3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

1. Nell'applicazione client, specifica l'endpoint HTTPS, disponibile nel feed webhook.

2. Abilita l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

   X-goog-api-key = API_KEY

   X-Webhook-Access-Key = SECRET

   Ti consigliamo di specificare la chiave API come intestazione anziché nell'URL. Se il tuo client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

     ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Sostituisci quanto segue:

   • ENDPOINT_URL: l'URL dell'endpoint del feed.
   • API_KEY: la chiave API per l'autenticazione in Google Security Operations.
   • SECRET: la chiave segreta che hai generato per autenticare il feed.

Esempio di configurazione del feed di Google Cloud Storage

1. Nel menu Operazioni di sicurezza di Google, seleziona Impostazioni e poi fai clic su Feed.
2. Fai clic su Add New (Aggiungi nuovo).
3. Seleziona Google Cloud Storage per Tipo di origine.
4. Seleziona il Tipo di log. Ad esempio, per creare un feed per gli audit log di Google Kubernetes Engine, seleziona Audit log di Google Kubernetes Engine come Tipo di log.
5. Fai clic su Ottieni account di servizio. Google Security Operations fornisce un account di servizio univoco usate da Google Security Operations per importare dati.
6. Configura l'accesso per l'account di servizio in modo che possa accedere agli oggetti Cloud Storage. In questo documento, consulta la sezione Concedere l'accesso all'account di servizio Google Security Operations.
7. Fai clic su Avanti.
8. In base alla configurazione di Cloud Storage che hai creato, specifica i valori per i seguenti campi:
   • URI del bucket di archiviazione
   • L'URI è un
   • Opzione di eliminazione dell'origine
9. Fai clic su Avanti e poi su Invia.

Concedi l'accesso all'account di servizio Google Security Operations

1. Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
   

   Vai a Bucket

2. Concedi l'accesso all'account di servizio agli oggetti Cloud Storage pertinenti.

   • Per concedere l'autorizzazione di lettura a un file specifico:

     1. Seleziona il file e fai clic su Modifica accesso.
     2. Fai clic su Aggiungi entità.
     3. Nel campo Nuove entità, inserisci il nome dell'account di servizio Google Security Operations.
     4. Assegna un ruolo che contenga l'autorizzazione di lettura all'account di servizio Google Security Operations. Ad esempio, Visualizzatore oggetti Storage (roles/storage.objectViewer). Questa operazione può essere eseguita solo se non hai attivato l'accesso uniforme a livello di bucket.
     5. Fai clic su Salva.

   • Per concedere l'autorizzazione di lettura a più file, devi concedere l'accesso in a livello di bucket. Devi aggiungere l'account di servizio Google Security Operations come principale al tuo bucket di archiviazione e concedergli il ruolo IAM Visualizzatore oggetti archiviazione (roles/storage.objectViewer).

     Se configuri il feed in modo da eliminare i file di origine, devi aggiungere Google Security Operations l'account di servizio come entità del bucket e assegnagli il ruolo IAM Amministratore oggetti Storage (roles/storage.objectAdmin).

Configurazione dei Controlli di servizio VPC

Se i Controlli di servizio VPC sono abilitati, è necessaria una regola in entrata per fornire l'accesso al bucket Cloud Storage.

I seguenti metodi di Cloud Storage devono essere consentiti nella regola in entrata:

• google.storage.objects.list. Obbligatorio per un singolo feed di file.
• google.storage.objects.get. Obbligatorio per i feed che richiedono l'accesso a directory o sottodirectory.
• google.storage.objects.delete. Obbligatorio per i feed che richiedono l'eliminazione del file di origine.

Regola in entrata di esempio

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Stato dei feed

Puoi monitorare lo stato del feed dalla pagina Feed iniziale. I feed possono avere i seguenti stati:

• Attivo: il feed è configurato e pronto per importare i dati nel tuo account Google Security Operations.
• In corso: Google Security Operations sta tentando di estrarre i dati dalla terza parte configurata.
• Completato: dati recuperati correttamente da questo feed.
• Archiviato: feed disattivato.

• Non riuscito: il feed non riesce a recuperare i dati. Probabilmente ciò è dovuto a un problema di configurazione. Fai clic sulla domanda per visualizzare l'errore di configurazione. Dopo aver corretto l'errore e inviato nuovamente il feed, torna alla pagina Feed per determinare se il feed ora funziona o meno.

Modificare i feed

Nella pagina Feed, puoi modificare un feed esistente:

1. Tieni il puntatore sopra un feed esistente e fai clic su . more_vert nella colonna di destra.

2. Fai clic su Modifica feed. Ora puoi modificare i parametri di input per il feed e inviarlo di nuovo a Google Security Operations. Google Security Operations tenterà di utilizzare il feed modificato.

Attivare e disattivare i feed

Nella colonna Stato, i feed attivati sono etichettati come Attivo, In corso, Completato o Non riuscito. I campi disattivati sono etichettati come Archiviati. Per una descrizione, consulta lo stato del feed.

Nella pagina Feed, puoi attivare o disattivare i feed esistenti:

1. Tieni il puntatore del mouse sopra un feed esistente e fai clic su more_vert nella colonna a destra.

2. Per attivare un feed, fai clic sul pulsante di attivazione/disattivazione Attiva feed.

3. Per disattivare un feed, fai clic sul pulsante di attivazione/disattivazione Disattiva feed. Il feed è ora etichettato come Archiviato.

Elimina feed

Dalla pagina Feed, puoi anche eliminare un feed esistente:

1. Tieni il puntatore del mouse sopra un feed esistente e fai clic su more_vert nella colonna a destra.

2. Fai clic su Elimina feed. Si apre la finestra ELIMINA FEED. Per eliminare definitivamente il feed, fai clic su Sì, eliminalo.

Controllare la frequenza di importazione

Quando la frequenza di importazione dei dati per un tenant raggiunge una determinata soglia, Google Security Operations limita la frequenza di importazione dei nuovi feed di dati per impedire a un'origine con una frequenza di importazione elevata di influire sulla frequenza di importazione di un'altra origine dati. In questo caso, si verifica un ritardo, ma non vengono persi dati. La soglia viene determinata dal volume di importazione e dalla cronologia di utilizzo del tenant.

Puoi richiedere un aumento del limite di frequenza contattando Assistenza clienti Google Cloud.

Risoluzione dei problemi

Nella pagina Feed puoi visualizzare dettagli come tipo di origine, tipo di log, ID feed e stato dei feed esistenti:

1. Tieni il puntatore sopra un feed esistente e fai clic su . more_vert nella colonna di destra.

2. Fai clic su Visualizza feed. Viene visualizzata una finestra di dialogo con i dettagli del feed. In caso di errore di un feed, puoi trovare i dettagli dell'errore in Dettagli > Stato.

Per un feed non riuscito, i dettagli includono la causa dell'errore e i passaggi per risolverlo. La seguente tabella descrive i messaggi di errore che potresti visualizzare quando utilizzi i feed di dati.