Menyerap data Google Cloud ke Google Security Operations

Didukung di:

Halaman ini menunjukkan cara mengaktifkan dan menonaktifkan penyerapan data Google Cloud Anda ke Google Security Operations. Google Security Operations memungkinkan Anda menyimpan, menelusuri, dan memeriksa informasi keamanan gabungan untuk perusahaan Anda yang berlangsung selama berbulan-bulan atau lebih lama sesuai dengan periode retensi data Anda.

Ringkasan

Ada dua opsi untuk mengirim data Google Cloud ke Google Security Operations. Memilih opsi yang tepat bergantung pada jenis log.

Opsi 1: Proses transfer langsung

Filter Cloud Logging khusus dapat dikonfigurasi di Google Cloud untuk mengirim jenis log tertentu ke Google Security Operations secara real time. Log ini dihasilkan oleh layanan Google Cloud.

Jenis log yang tersedia meliputi:

  • Cloud Audit Logs
  • Cloud NAT
  • Cloud DNS
  • Cloud Next Generation Firewall
  • Cloud Intrusion Detection System
  • Cloud Load Balancing
  • Cloud SQL
  • Log aktivitas Windows
  • Syslog Linux
  • Sysmon Linux
  • Zeek
  • Google Kubernetes Engine
  • Audit Daemon (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Log Cloud Run (GCP_RUN)

Untuk mengumpulkan log aplikasi Compute Engine atau Google Kubernetes Engine (GKE) (seperti Apache, Nginx, atau IIS), gunakan Opsi 2. Selain itu, ajukan tiket Dukungan ke Google Security Operations untuk memberikan masukan guna dipertimbangkan pada masa mendatang untuk mendukung penggunaan penyerapan langsung (Opsi 1).

Untuk filter log tertentu dan detail penyerapan lainnya, lihat Mengekspor Log Google Cloud ke Google Security Operations.

Anda juga dapat mengirim metadata aset Google Cloud yang digunakan untuk pengayaan konteks. Lihat Mengekspor metadata aset Google Cloud ke Google Security Operations untuk mengetahui detail selengkapnya.

Opsi 2: Google Cloud Storage

Cloud Logging dapat merutekan log ke Cloud Storage untuk diambil oleh Google Security Operations secara terjadwal.

Untuk mengetahui detail tentang cara mengonfigurasi Cloud Storage untuk Google Security Operations, lihat Pengelolaan Feed: Cloud Storage.

Sebelum memulai

Sebelum dapat menyerap data Google Cloud ke dalam instance Google Security Operations, Anda harus menyelesaikan langkah-langkah berikut:

  1. Berikan peran IAM berikut yang diperlukan agar Anda dapat mengakses bagian Google Security Operations:

    • Chronicle Service Admin (roles/chroniclesm.admin): Peran IAM untuk melakukan semua aktivitas.
    • Chronicle Service Viewer (roles/chroniclesm.viewer): Peran IAM untuk hanya melihat status penyerapan.
    • Security Center Admin Editor (roles/securitycenter.adminEditor): Diperlukan untuk mengaktifkan penyerapan Metadata Aset Cloud.

  2. Jika berencana mengaktifkan Metadata Aset Cloud, Anda harus melakukan aktivasi organisasi ke Security Command Center. Lihat Ringkasan aktivasi tingkat organisasi untuk mengetahui informasi selengkapnya.

Memberikan Peran IAM

Anda dapat memberikan peran IAM yang diperlukan menggunakan konsol Google Cloud atau menggunakan gcloud CLI.

Untuk memberikan peran IAM menggunakan konsol Google Cloud, selesaikan langkah-langkah berikut:

  1. Login ke organisasi Google Cloud yang ingin Anda hubungkan dan buka layar IAM menggunakan Products > IAM & Admin > IAM.

  2. Dari layar IAM, pilih pengguna, lalu klik Edit Anggota.

  3. Di layar Edit Permissions, klik Add Another Role dan telusuri Google Security Operations untuk menemukan peran IAM.

  4. Setelah menetapkan peran, klik Simpan.

Untuk memberikan peran IAM menggunakan Google Cloud CLI, selesaikan langkah-langkah berikut:

  1. Pastikan Anda login ke organisasi yang benar. Verifikasi hal ini dengan menjalankan perintah gcloud init.

  2. Untuk memberikan peran IAM Chronicle Service Admin menggunakan gcloud, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi numerik.
    • USER_EMAIL: alamat email pengguna.

  3. Untuk memberikan peran IAM Chronicle Service Viewer menggunakan gcloud, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Untuk memberikan peran Editor Admin Pusat Keamanan menggunakan gcloud, jalankan perintah berikut:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Mengaktifkan penyerapan langsung dari Google Cloud

Langkah-langkah untuk mengaktifkan penyerapan langsung dari Google Cloud berbeda-beda, bergantung pada kepemilikan project yang menjadi tempat instance Google Security Operations Anda terikat.

Setelah Anda mengonfigurasi penyerapan langsung, data Google Cloud Anda akan dikirim ke Google Security Operations. Anda dapat menggunakan fitur analisis Google Security Operations untuk menyelidiki masalah terkait keamanan.

Mengonfigurasi proses transfer data saat project dimiliki oleh pelanggan

Lakukan langkah-langkah berikut jika Anda adalah pemilik project Google Cloud.

Anda dapat mengonfigurasi penyerapan langsung dari beberapa organisasi menggunakan halaman konfigurasi tingkat project yang sama. Lakukan langkah-langkah berikut untuk membuat konfigurasi baru dan mengedit konfigurasi yang ada.

Saat Anda memigrasikan instance Google Security Operations yang ada sehingga terikat dengan project yang Anda miliki, dan jika penyerapan langsung dikonfigurasi sebelum migrasi, konfigurasi penyerapan langsung juga akan dimigrasikan.

  1. Buka halaman Google SecOps > Ingestion Settings di konsol Google Cloud.
    Buka halaman Google SecOps
  2. Pilih project yang terikat dengan instance Google Security Operations Anda.

  3. Di menu Organization, pilih organisasi tempat log akan diekspor. Menu ini menampilkan organisasi yang izin aksesnya Anda miliki. Daftar ini dapat mencakup organisasi yang tidak ditautkan ke instance Google SecOps. Anda tidak dapat mengonfigurasi organisasi yang mengirim data ke instance Google SecOps yang berbeda.

    Pilih organisasi

  4. Di bagian Setelan Google Cloud Ingestion, klik tombol Mengirim data ke Google Security Operations untuk mengaktifkan log yang akan dikirim ke Google Security Operations.

  5. Pilih satu atau beberapa opsi berikut untuk menentukan jenis data yang dikirim ke Google Security Operations:

  6. Di bagian Setelan filter ekspor pelanggan, tentukan filter ekspor yang menyesuaikan data Cloud Logging yang diekspor ke Google Security Operations. Lihat Mengekspor log Google Cloud untuk mengetahui jenis data log yang Anda ekspor.

  7. Untuk menyerap log dari organisasi tambahan ke instance Google Security Operations yang sama, pilih organisasi dari menu Organization, lalu ulangi langkah-langkah untuk menentukan jenis data yang akan diekspor dan filter ekspor. Anda akan melihat beberapa organisasi tercantum di menu Organization.

  8. Untuk mengekspor data Cloud Data Loss Prevention Google Cloud ke Google Security Operations, lihat Mengekspor data Cloud Data Loss Prevention Google Cloud ke Google Security Operations.

Mengonfigurasi proses transfer saat project dimiliki oleh Google Cloud

Jika project dimiliki oleh Google Cloud, lakukan tindakan berikut untuk mengonfigurasi penyerapan langsung dari organisasi Google Cloud ke instance Google Security Operations:

  1. Buka tab Google SecOps > Ringkasan > Penyerapan di konsol Google Cloud. Buka tab Proses Transfer Google SecOps
  2. Klik tombol Kelola setelan penyerapan organisasi.
  3. Jika Anda melihat pesan Halaman tidak dapat dilihat untuk project., pilih organisasi, lalu klik Select.
  4. Masukkan kode akses sekali pakai Anda di kolom Kode akses Google Security Operations 1 kali.
  5. Centang kotak berlabel Saya menyetujui persyaratan dan ketentuan penggunaan data Google Cloud saya oleh Google Security Operations.
  6. Klik Hubungkan Google SecOps.
  7. Buka tab Setelan Proses Transfer Global untuk organisasi.

  8. Pilih jenis data yang akan dikirim dengan mengaktifkan satu atau beberapa opsi berikut:

  9. Buka tab Export Filter Settings.

  10. Di bagian Setelan filter ekspor pelanggan, tentukan filter ekspor yang menyesuaikan data Cloud Logging yang diekspor ke Google Security Operations. Lihat Mengekspor log Google Cloud untuk mengetahui jenis data log yang Anda ekspor.

  11. Untuk mengekspor data Cloud Data Loss Prevention Google Cloud ke Google Security Operations, lihat Mengekspor data Cloud Data Loss Prevention Google Cloud ke Google Security Operations.

Mengekspor log Google Cloud

Setelah mengaktifkan Cloud Logging, Anda dapat mengekspor jenis data Google Cloud berikut ke instance Google Security Operations, yang tercantum berdasarkan jenis log dan label penyerapan Google Security Operations:

  • Cloud Audit Logs(GCP_CLOUDAUDIT): ini mencakup log Aktivitas Admin, Peristiwa Sistem, Transparansi Akses, dan Kebijakan Ditolak.
    • log_id("cloudaudit.googleapis.com/activity") (diekspor oleh filter default)
    • log_id("cloudaudit.googleapis.com/system_event") (diekspor oleh filter default)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • Log Cloud NAT(GCP_CLOUD_NAT):
    • log_id("compute.googleapis.com/nat_flows")
  • Log Cloud DNS (GCP_DNS):
    • log_id("dns.googleapis.com/dns_queries") (diekspor oleh filter default)
  • Log Cloud Next Generation Firewall(GCP_FIREWALL):
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS:
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING:
    • log_id("requests") Hal ini mencakup log dari Google Cloud Armor dan Cloud Load Balancing
  • GCP_CLOUDSQL:
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM:
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON:
    • log_id("sysmon.raw")
  • WINEVTLOG:
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON:
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE:
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • AUDITD:
    • log_id("audit_log")
  • GCP_APIGEE_X:
    • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
  • GCP_RECAPTCHA_ENTERPRISE:
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN:
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE:
    • log_id("networksecurity.googleapis.com/firewall_threat")

Untuk mengekspor log Google Cloud ke Google Security Operations, setel tombol Aktifkan log Cloud ke Aktif. Jenis log Google Cloud yang didukung dapat diekspor ke instance Google Security Operations Anda.

Untuk praktik terbaik tentang filter log yang akan digunakan, lihat Analisis log keamanan di Google Cloud.

Mengekspor setelan filter

Bagian berikut memberikan informasi tentang filter ekspor.

Setelan filter ekspor kustom

Secara default, log Cloud Audit Logs (Aktivitas Admin dan Peristiwa Sistem) dan log Cloud DNS Anda dikirim ke instance Google Security Operations. Namun, Anda dapat menyesuaikan filter ekspor untuk menyertakan atau mengecualikan jenis log tertentu. Filter ekspor didasarkan pada bahasa kueri logging Google.

Untuk menentukan filter kustom untuk log Anda, selesaikan langkah-langkah berikut:

  1. Tentukan filter dengan membuat filter kustom untuk log menggunakan bahasa kueri logging. Lihat Bahasa kueri logging untuk mengetahui informasi tentang cara menentukan jenis filter ini.

  2. Buka halaman Google SecOps di konsol Google Cloud dan pilih project.
    Buka halaman Google Security Operations

  3. Luncurkan Logs Explorer menggunakan link yang disediakan di tab Setelan Filter Ekspor.

  4. Salin kueri baru Anda ke kolom Query, lalu klik Run Query untuk mengujinya.

  5. Salin kueri baru Anda ke kolom Logs Explorer > Query, lalu klik Run Query untuk mengujinya.

  6. Pastikan log yang cocok yang ditampilkan di Logs Explorer benar-benar log yang ingin Anda ekspor ke Google Security Operations. Setelah filter siap, salin ke bagian Setelan filter ekspor kustom untuk Google Security Operations.

  7. Kembali ke bagian Setelan filter ekspor kustom di halaman Google SecOps.

    Bagian setelan filter ekspor kustom

  8. Klik ikon edit untuk kolom Filter ekspor, lalu tempel filter ke kolom tersebut.

  9. Klik tombol Simpan. Filter kustom baru Anda berfungsi untuk semua log baru yang diekspor ke instance Google Security Operations.

  10. Anda dapat mereset filter ekspor ke versi default dengan mengklik Reset ke Default. Pastikan untuk menyimpan salinan filter kustom terlebih dahulu.

Menyesuaikan filter Cloud Audit Logs

Log Akses Data yang ditulis oleh Cloud Audit Logs dapat menghasilkan volume data yang besar tanpa banyak nilai deteksi ancaman. Jika memilih untuk mengirim log ini ke Google Security Operations, Anda harus memfilter log yang dihasilkan oleh aktivitas rutin.

Filter ekspor berikut merekam log akses data dan mengecualikan peristiwa bervolume tinggi seperti operasi Baca dan Cantumkan dari Cloud Storage dan Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Untuk informasi selengkapnya tentang cara menyesuaikan log Akses Data yang dihasilkan oleh Log Audit Cloud, lihat Mengelola volume log audit Akses Data.

Contoh Filter Ekspor

Contoh filter ekspor berikut mengilustrasikan cara menyertakan atau mengecualikan jenis log tertentu agar tidak diekspor ke instance Google Security Operations.

Contoh Filter Ekspor: Menyertakan jenis log tambahan

Filter ekspor berikut mengekspor log transparansi akses selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Contoh Filter Ekspor: Menyertakan log tambahan dari project tertentu

Filter ekspor berikut mengekspor log transparansi akses dari project tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Menyertakan log tambahan dari folder tertentu

Filter ekspor berikut mengekspor log transparansi akses dari folder tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Mengecualikan log dari project tertentu

Filter ekspor berikut mengekspor log default dari seluruh organisasi Google Cloud, kecuali project tertentu:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Mengekspor metadata aset Google Cloud

Anda dapat mengekspor metadata aset Google Cloud dari Inventaris Aset Cloud ke Google Security Operations. Metadata aset ini diambil dari Cloud Asset Inventory dan terdiri dari informasi tentang aset, resource, dan identitas Anda, termasuk hal berikut:

  • Lingkungan
  • Lokasi
  • Zona
  • Model hardware
  • Hubungan kontrol akses antara resource dan identitas

Jenis metadata aset Google Cloud berikut akan diekspor ke instance Google Security Operations Anda:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Berikut adalah contoh metadata aset Google Cloud:

  • Nama aplikasi—Google-iamSample/0.1
  • Nama project—projects/my-project

Untuk mengekspor metadata aset Google Cloud ke Google Security Operations, setel tombol Metadata Aset Cloud ke Diaktifkan.

Aktifkan Metadata Aset Cloud.

Untuk informasi selengkapnya tentang parser konteks, lihat Parser konteks Google Security Operations.

Mengekspor temuan Security Command Center

Anda dapat mengekspor temuan Deteksi Ancaman Peristiwa Security Command Center Premium dan semua temuan lainnya ke Google Security Operations.

Untuk informasi selengkapnya tentang temuan ETD, lihat Ringkasan Event Threat Detection.

Untuk mengekspor temuan Security Command Center Premium ke Google Security Operations, setel tombol Temuan Security Command Center Premium ke Diaktifkan.

Mengekspor data Perlindungan Data Sensitif ke Google Security Operations

Untuk menyerap metadata aset Perlindungan Data Sensitif (DLP_CONTEXT), lakukan tindakan berikut:

  1. Aktifkan penyerapan data Google Cloud dengan menyelesaikan bagian sebelumnya dalam dokumen ini.
  2. Konfigurasikan Perlindungan Data Sensitif untuk membuat profil data.
  3. Konfigurasikan konfigurasi pemindaian untuk memublikasikan profil data ke Google Security Operations.

Lihat dokumentasi Perlindungan Data Sensitif untuk mengetahui informasi mendetail tentang cara membuat profil data untuk data BigQuery.

Menonaktifkan penyerapan data Google Cloud

Langkah-langkah untuk menonaktifkan penyerapan data langsung dari Google Cloud berbeda-beda, bergantung pada cara Google Security Operations dikonfigurasi. Pilih salah satu opsi berikut:

  • Jika instance Google Security Operations Anda terikat dengan project yang Anda miliki dan kelola, lakukan langkah-langkah berikut:

    1. Pilih project yang terikat dengan instance Google Security Operations Anda.
    2. Di konsol Google Cloud, buka tab Ingestion di bagian Google SecOps.
      Buka halaman Google SecOps
    3. Di menu Organization, pilih organisasi tempat log diekspor.
    4. Setel tombol Mengirim data ke Google Security Operations ke Nonaktif.
    5. Jika Anda mengonfigurasi ekspor data dari beberapa Organisasi, dan Anda juga ingin menonaktifkannya, lakukan langkah-langkah ini untuk setiap organisasi.

  • Jika instance Google Security Operations Anda terikat dengan project yang dimiliki dan dikelola Google Cloud, lakukan langkah-langkah berikut:

    1. Buka halaman Google SecOps > Ingestion di konsol Google Cloud.
      Buka halaman Google SecOps
    2. Di menu resource, pilih organisasi yang terikat dengan instance Google Security Operations dan tempat Anda menyerap data.
    3. Centang kotak berlabel Saya ingin memutuskan hubungan Google Security Operations dan berhenti mengirim Log Google Cloud ke Google Security Operations.
    4. Klik Putuskan hubungan Google Security Operations.

Pemecahan masalah

  • Jika hubungan antara resource dan identitas tidak ada di instance Google Security Operations, nonaktifkan, lalu aktifkan kembali penyerapan data log langsung ke Google Security Operations.
  • Metadata aset Google Cloud diserap secara berkala ke Google Security Operations. Tunggu beberapa jam agar perubahan terlihat di UI dan API Google Security Operations.

Langkah selanjutnya

  • Buka instance Google Security Operations menggunakan URL khusus pelanggan yang diberikan oleh perwakilan Google Security Operations Anda.
  • Pelajari lebih lanjut Google Security Operations.