Importa i dati di Google Cloud in Google Security Operations

Questa pagina mostra come attivare e disattivare l'importazione dei dati di Google Cloud in Google Security Operations. Google Security Operations consente di archiviare, cercare ed esaminare i dati di sicurezza aggregati della tua azienda per mesi o più in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati di Google Cloud a Google Security Operations. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare uno speciale filtro di Cloud Logging per inviare tipi di log specifici a Google Security Operations in tempo reale. Questi log vengono generati dai servizi Google Cloud.

I tipi di log disponibili includono:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Log eventi di Windows
• SysLog di Linux
• Sysmon Linux
• Zeek
• Google Kubernetes Engine
• Controlla il daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Log di Cloud Run (GCP_RUN)

Per raccogliere i log delle applicazioni Compute Engine o Google Kubernetes Engine (GKE) (ad esempio Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, invia un ticket di assistenza a Google Security Operations per fornire un feedback che potrà essere preso in considerazione in futuro per supportare l'utilizzo dell'importazione diretta (opzione 1).

Per filtri di log specifici e ulteriori dettagli sull'importazione, vedi Esportare i log di Google Cloud in Google Security Operations.

Puoi anche inviare metadati degli asset di Google Cloud utilizzati per l'arricchimento del contesto. Per ulteriori dettagli, consulta Esportare i metadati delle risorse Google Cloud in Google Security Operations.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage in modo che possano essere recuperati da Google Security Operations in base a un programma.

Per maggiori dettagli su come configurare Cloud Storage per Google Security Operations, vedi Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare i dati di Google Cloud in un'istanza di Google Security Operations, devi completare i seguenti passaggi:

1. Concedi i seguenti ruoli IAM necessari per accedere alla sezione Google Security Operations:

   • Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
   • Visualizzatore servizio Chronicle (roles/chroniclesm.viewer): ruolo IAM che consente di visualizzare solo lo stato dell'importazione.
   • Editor di amministrazione di Security Center (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati delle risorse cloud.

2. Se prevedi di attivare i metadati di Cloud Asset, devi anche attivare il livello Standard, Premium o Enterprise di Security Command Center. Per ulteriori informazioni, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concessione di ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

1. Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e Amministratore > IAM.

2. Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

3. Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google Security Operations per trovare i ruoli IAM.

4. Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa questi passaggi:

1. Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.

2. Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui il seguente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
   • USER_EMAIL: l'indirizzo email dell'utente.

3. Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando gcloud, esegui questo comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Per concedere il ruolo Editor amministratore Centro sicurezza utilizzando gcloud, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Attivare l'importazione diretta da Google Cloud

I passaggi per abilitare l'importazione diretta da Google Cloud sono diversi a seconda sulla proprietà del progetto a cui è vincolata la tua istanza Google Security Operations.

• Se è associato a un progetto di tua proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà del cliente. Questo approccio consente di configurare l'importazione dati da più di un'organizzazione Google Cloud.

• Se è associato a un progetto di proprietà e gestito da Google Cloud, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà di Google Cloud.

Dopo aver configurato l'importazione diretta, i tuoi dati di Google Cloud vengono inviati a Google Security Operations. Puoi utilizzare le funzionalità di analisi di Google Security Operations per esaminare i problemi relativi alla sicurezza.

Configura l'importazione quando il progetto è di proprietà del cliente

Se sei il proprietario del progetto Google Cloud, segui questi passaggi.

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificare configurazione esistente.

Quando esegui la migrazione di un'istanza Google Security Operations esistente in modo che si leghi a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita la migrazione anche della configurazione dell'importazione diretta.

1. Vai alla pagina Google SecOps > Impostazioni importazione nella console Google Cloud.
   Vai alla pagina Google SecOps
2. Seleziona il progetto associato alla tua istanza di Google Security Operations.

3. Nel menu Organizzazione, seleziona l'organizzazione da cui i log esportate. Il menu mostra le organizzazioni a cui hai l'autorizzazione ad accedere. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'altra istanza Google SecOps.

   

4. Nella sezione Impostazione di importazione di Google Cloud, fai clic sul pulsante di attivazione/disattivazione Invio di dati a Google Security Operations per consentire l'invio dei log a Google Security Operations.

5. Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google Security Operations:

   • Google Cloud Logging: per saperne di più su questa opzione, consulta Esportare i log di Google Cloud.
   • Metadati di Cloud Asset: per ulteriori informazioni su questa opzione, consulta Esportare i metadati delle risorse Google Cloud.
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

6. Nella sezione Impostazioni del filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzano Cloud Logging di dati esportati in Google Security Operations. Consulta Esportare i log di Google Cloud per i tipi di dati dei log che esporti.

7. Per importare i log di un'altra organizzazione nella stessa istanza di Google Security Operations, seleziona l'organizzazione dal menu Organizzazione, quindi ripeti passaggi per definire il tipo di dati da esportare ed esportare i filtri. Visualizzerai più organizzazioni elencate nel menu Organizzazione.

8. Per esportare i dati di Google Cloud Data Loss Prevention di Google Cloud in Google Security Operations, consulta Esporta i dati di Google Cloud Data Loss Prevention di Google Cloud in Google Security Operations.

Configurare l'importazione quando un progetto è di proprietà di Google Cloud

Se il progetto è di proprietà di Google Cloud, segui questi passaggi per configurare l'importazione diretta dalla tua organizzazione Google Cloud alla tua istanza Google Security Operations:

1. Vai alla scheda Google SecOps > Panoramica > Importazione nella console Google Cloud. Vai alla scheda Importazione di Google SecOps
2. Fai clic sul pulsante Gestisci le impostazioni di importazione dell'organizzazione.
3. Se visualizzi il messaggio Pagina non visualizzabile per i progetti, seleziona un'opzione dell'organizzazione, quindi fai clic su Seleziona.
4. Inserisci il tuo codice di accesso monouso nel campo Codice di accesso monouso di Google Security Operations.
5. Seleziona la casella Accetto i Termini e condizioni di Utilizzo dei miei dati Google Cloud da parte di Google Security Operations.
6. Fai clic su Connect Google SecOps (Collega Google SecOps).
7. Vai alla scheda Impostazioni di importazione globali per l'organizzazione.

8. Seleziona il tipo di dati che verranno inviati attivando una o più delle seguenti opzioni:

   • Google Cloud Logging: per ulteriori informazioni su questa opzione, vedi Esportare i log di Google Cloud.
   • Metadati di Cloud Asset Per saperne di più su questa opzione, consulta Esportare i metadati delle risorse Google Cloud.
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

9. Vai alla scheda Esporta impostazioni filtro.

10. Nella sezione Impostazioni del filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzano Cloud Logging di dati esportati in Google Security Operations. Consulta Esportare i log di Google Cloud per tutti i tipi di dati di log che esporti.

11. Per esportare i dati di Google Cloud Data Loss Prevention di Google Cloud in Google Security Operations, consulta Esporta i dati di Google Cloud Data Loss Prevention di Google Cloud in Google Security Operations.

Esporta i log di Google Cloud

Dopo aver attivato Logging in Cloud, puoi esportare i seguenti tipi di dati di Google Cloud nell'istanza Google Security Operations, elencati in base al tipo di log e all'etichetta di importazione di Google Security Operations:

• Audit log di Cloud (GCP_CLOUDAUDIT): sono inclusi gli audit log Attività di amministrazione, Evento di sistema, Trasparenza degli accessi e Accesso negato in base ai criteri.
  • log_id("cloudaudit.googleapis.com/activity") (esportato in base al filtro predefinito)
  • log_id("cloudaudit.googleapis.com/system_event") (esportato in base al filtro predefinito)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Log di Cloud NAT(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Log di Cloud DNS (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
• Log di Cloud Next Generation Firewall(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare i log di Google Cloud in Google Security Operations, imposta l'opzione Abilita log di Cloud su Enabled (Abilitata). I tipi di log di Google Cloud supportati possono essere esportati nella tua istanza Google Security Operations.

Per le best practice su quali filtri dei log utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Impostazioni del filtro di esportazione personalizzate

Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed evento di sistema) e i log di Cloud DNS vengono inviati all'istanza Google Security Operations. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query di Google Logging.

Per definire un filtro personalizzato per i log:

1. Definisci il filtro creando un filtro personalizzato per i log utilizzando il metodo il linguaggio di query di logging. Consulta Linguaggio di query di Logging per informazioni su come definire questo tipo di filtro.

2. Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
   Vai alla pagina Google Security Operations
   

3. Avvia Esplora log utilizzando il link fornito nella scheda Esporta impostazioni filtro.

4. Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

5. Copia la nuova query in Esplora log > campo Query e poi fai clic su Esegui query per testarla.

6. Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google Security Operations. Quando il filtro è pronto, copialo nella sezione Personalizza le impostazioni del filtro di esportazione per Google Security Operations.

7. Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

   Sezione delle impostazioni del filtro di esportazione personalizzato

8. Fai clic sull'icona di modifica del campo Esporta filtro e incolla il filtro nel campo.

9. Fai clic sul pulsante Salva. Il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nell'istanza Google Security Operations.

10. Puoi reimpostare la versione predefinita del filtro di esportazione facendo clic su Ripristina impostazione predefinita. Assicurati innanzitutto di salvare una copia del filtro personalizzato.

Ottimizza i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un grande volume di dati senza molto valore di rilevamento delle minacce. Se scegli di inviare questi log a Google Security Operations, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude eventi a volumi elevati come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per saperne di più sull'ottimizzazione dei log di accesso ai dati generati da Cloud Audit Logs, vedi Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione illustrano come includere o escludere determinati tipi di log dall'esportazione nell'istanza di Google Security Operations.

Esempio di filtro di esportazione: includi tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludere i log da un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera organizzazione Google Cloud, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esporta i metadati degli asset Google Cloud

Puoi esportare i metadati degli asset di Google Cloud da Cloud Asset Inventory a Google Security Operations. Questi metadati delle risorse sono ricavati da Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:

• Ambiente
• Località
• Zona
• Modelli hardware
• Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di metadati degli asset di Google Cloud verranno esportati nella tua istanza Google Security Operations:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di metadati delle risorse di Google Cloud:

• Nome applicazione: Google-iamSample/0.1
• Nome progetto: projects/my-project

Per esportare i metadati degli asset Google Cloud in Google Security Operations, imposta l'opzione Metadati degli asset cloud su Abilitati.

Per ulteriori informazioni sui parser di contesto, vedi Analizzatori di contesto di Google Security Operations.

Esporta i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google Security Operations.

Per ulteriori informazioni sui risultati di ETD, consulta Panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google Security Operations, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato.

Esporta i dati di Sensitive Data Protection in Google Security Operations

Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT), esegui quanto segue:

1. Abilita l'importazione dati Google Cloud completando la sezione precedente di questo documento.
2. Configura Sensitive Data Protection per profilare i dati.
3. Configura la configurazione della scansione per pubblicare i profili di dati a Google Security Operations.

Per informazioni dettagliate, consulta la documentazione di Sensitive Data Protection sulla creazione di profili per i dati BigQuery.

Disabilita l'importazione dati Google Cloud

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud sono diversi a seconda della configurazione di Google Security Operations. Scegli una delle opzioni seguenti:

• Se la tua istanza di Google Security Operations è associata a un progetto di tua proprietà gestisci, segui questi passaggi:

  1. Seleziona il progetto associato alla tua istanza di Google Security Operations.
  2. Nella console Google Cloud, vai alla scheda Importazione in Google SecOps.
     Vai alla pagina Google SecOps
  3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
  4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivato.
  5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattiva anche questi, svolgi i passaggi che seguono per ogni organizzazione.

• Se la tua istanza Google Security Operations è associata a un progetto di proprietà di Google Cloud e gestisce, esegui questi passaggi:

  1. Vai a Google SecOps > Pagina Importazione nella console Google Cloud.
     Vai alla pagina Google SecOps
  2. Nel menu della risorsa, seleziona l'organizzazione associata a Google Security Operations e da cui stai importando i dati.
  3. Seleziona la casella Voglio disconnettere Google Security Operations e smettere di inviare i log di Google Cloud a Google Security Operations.
  4. Fai clic su Disconnetti Google Security Operations.

Risoluzione dei problemi

• Se nelle tue risorse mancano le relazioni tra risorse e identità Istanza Google Security Operations, disattiva e poi riattiva l'importazione diretta dei dati di log in Google Security Operations.
• I metadati degli asset di Google Cloud vengono importati periodicamente in Google Security Operations. Attendi diverse ore prima che le modifiche siano visibili alla UI e alle API di Google Security Operations.

Passaggi successivi

• Apri l'istanza di Google Security Operations utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Google Security Operations.
• Scopri di più su Google Security Operations.