Questa pagina è stata tradotta dall'API Cloud Translation.

Importa Google Cloud i dati in Google Security Operations

Supportato in:

Google SecOps SIEM

Questa pagina mostra come attivare e disattivare l'importazione dei tuoi Google Cloud dati in Google SecOps. Google SecOps ti consente di archiviare, cercare ed esaminare le informazioni di sicurezza aggregate della tua azienda per mesi o più, in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare Google Cloud i dati a Google SecOps. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare un filtro speciale di Cloud Logging per inviare tipi di log specifici a Google SecOps in tempo reale. Questi log vengono generati dai servizi Google Cloud .

Google Security Operations importa solo i tipi di log supportati. I tipi di log disponibili includono:

Cloud Audit Logs
Cloud NAT
Cloud DNS
Cloud Next Generation Firewall
Cloud Intrusion Detection System
Cloud Load Balancing
Cloud SQL
Log eventi di Windows
Syslog di Linux
Sysmon per Linux
Zeek
Google Kubernetes Engine
Audit Daemon (auditd)
Apigee
reCAPTCHA Enterprise
Log di Cloud Run (GCP_RUN)

Per informazioni dettagliate sui filtri dei log specifici e su altri dettagli di importazione, vedi Esportare Google Cloud i log in Google SecOps.

Puoi anche inviare Google Cloud metadati delle risorse utilizzati per l'arricchimento del contesto. Per maggiori dettagli, vedi Esportare Google Cloud i metadati delle risorse in Google SecOps.

Opzione 2: Google Cloud spazio di archiviazione

Cloud Logging può instradare i log in Cloud Storage per essere recuperati da Google SecOps in base a una pianificazione.

Per informazioni dettagliate su come configurare Cloud Storage per Google SecOps, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare Google Cloud i dati in un'istanza Google SecOps, devi completare i seguenti passaggi:

Concedi i seguenti ruoli IAM necessari per accedere alla sezione Google SecOps:
- Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
- Visualizzatore del servizio Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
- Editor di amministrazione di Security Center (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati delle risorse cloud.
Se prevedi di abilitare i metadati di Cloud Asset, devi eseguire l'onboarding dell'organizzazione in Security Command Center. Per ulteriori informazioni, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concedere i ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

Accedi all' Google Cloud organizzazione a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.
Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

Nota: se non sei nella visualizzazione Organizzazione di IAM, il pulsante Modifica membro è disattivato e devi andare alla schermata IAM dell'organizzazione.
Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google SecOps per trovare i ruoli IAM.
Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa i seguenti passaggi:

Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.
Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui il seguente comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID numerico dell'organizzazione.
- USER_EMAIL: l'indirizzo email dell'utente.

Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando gcloud, esegui il seguente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Per concedere il ruolo Editor amministratore di Security Center utilizzando gcloud, esegui il seguente comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Attiva l'importazione diretta da Google Cloud

I passaggi per abilitare l'importazione diretta da Google Cloud sono diversi a seconda della proprietà del progetto a cui è associata l'istanza Google SecOps.

Se è associato a un progetto di tua proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà del cliente. Questo approccio ti consente di configurare l'importazione dei dati da più Google Cloud organizzazioni.
Se è associato a un progetto di tua Google Cloud proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà di Google Cloud.

Dopo aver configurato l'importazione diretta, i tuoi Google Cloud dati vengono inviati a Google SecOps. Puoi utilizzare le funzionalità di analisi di Google SecOps per esaminare i problemi relativi alla sicurezza.

Configurare l'importazione quando il progetto è di proprietà del cliente

Se il progetto è di tua proprietà, segui questi passaggi. Google Cloud

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificare una configurazione esistente, segui questi passaggi.

Quando esegui la migrazione di un'istanza Google SecOps esistente in modo che si leghi a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita la migrazione anche della configurazione dell'importazione diretta.

Vai alla pagina Google SecOps > Impostazioni importazione nella console Google Cloud.
Vai alla pagina Google SecOps
Seleziona il progetto associato all'istanza Google SecOps.
Nel menu Organizzazione, seleziona l'organizzazione da cui verranno esportati i log. Il menu mostra le organizzazioni a cui hai l'autorizzazione di accesso. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'istanza Google SecOps diversa.
Nella sezione Impostazione di importazione di Google Cloud, fai clic sull'opzione di attivazione/disattivazione Invio di dati a Google Security Operations per attivare l'invio dei log a Google SecOps.
Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google SecOps:
- Cloud Logging di Google: per ulteriori informazioni su questa opzione, consulta Esportare Google Cloud i log.
- Metadati della risorsa Cloud: per ulteriori informazioni su questa opzione, consulta Esporta Google Cloud metadati della risorsa.
- Risultati di Security Command Center Premium: per ulteriori informazioni su questa opzione, consulta Esportare i risultati di Security Command Center Premium.
Nella sezione Impostazioni filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzino i dati di Cloud Logging esportati in Google SecOps. Consulta Esportare Google Cloud log per i tipi di dati dei log che esporti.
Per importare i log da un'altra organizzazione nella stessa istanza di Google SecOps, selezionatela dal menu Organizzazione e poi ripetete i passaggi per definire il tipo di dati da esportare e i filtri di esportazione. Nel menu Organizzazione vengono visualizzate più organizzazioni.
Per esportare i dati di Google Cloud Cloud Data Loss Prevention in Google SecOps, consulta Esportare i dati di Google Cloud Cloud Data Loss Prevention in Google SecOps.

Configurare l'importazione quando un progetto è di proprietà di Google Cloud

Se Google Cloud possiede il progetto, procedi nel seguente modo per configurare l'importazione diretta dalla tua Google Cloud organizzazione nell'istanza Google SecOps:

Vai alla scheda Google SecOps > Panoramica > Importazione nella console Google Cloud. Vai alla scheda Importazione di Google SecOps
Fai clic sul pulsante Gestisci le impostazioni di importazione dell'organizzazione.
Se visualizzi il messaggio Pagina non visibile per i progetti, seleziona un'organizzazione e poi fai clic su Seleziona.
Inserisci il codice di accesso una tantum nel campo Codice di accesso una tantum a Google SecOps.
Seleziona la casella Accetto i termini e le condizioni di Google SecOps relativi all'utilizzo dei miei Google Cloud dati.
Fai clic su Connetti Google SecOps.
Vai alla scheda Impostazioni di importazione globale per l'organizzazione.
Seleziona il tipo di dati da inviare attivando una o più delle seguenti opzioni:
- Google Cloud Logging: per ulteriori informazioni su questa opzione, consulta Esportare Google Cloud i log.
- Metadati delle risorse Cloud Per saperne di più su questa opzione, consulta Esportare Google Cloud i metadati delle risorse.
- Risultati di Security Command Center Premium: per ulteriori informazioni su questa opzione, consulta Esportare i risultati di Security Command Center Premium.
Vai alla scheda Impostazioni filtro di esportazione.
Nella sezione Impostazioni filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzino i dati di Cloud Logging esportati in Google SecOps. Consulta Esportare Google Cloud log per informazioni sui tipi di dati dei log che esporti.
Per esportare i dati di Google Cloud Cloud Data Loss Prevention in Google SecOps, consulta Esportare i dati di Google Cloud Cloud Data Loss Prevention in Google SecOps.

Esportare i log Google Cloud

Dopo aver attivato Cloud Logging, puoi esportare i seguenti tipi di Google Cloud dati nell'istanza Google SecOps, elencati in base al tipo di log e all'etichetta di importazione di Google SecOps:

Audit log di Cloud(GCP_CLOUDAUDIT): sono inclusi gli audit log Attività di amministrazione, Evento di sistema, Access Transparency e Accesso negato in base ai criteri.
- log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
Log di Cloud NAT(GCP_CLOUD_NAT):
- log_id("compute.googleapis.com/nat_flows")
Log di Cloud DNS (GCP_DNS):
- log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
Log di Cloud Next Generation Firewall(GCP_FIREWALL):
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests") Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee.googleapis.com/ingress_instance")
- log_id("apigee.googleapis.com")
- log_id("apigee-logs")
- log_id("apigee")
- logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare Google Cloud i log in Google SecOps, imposta il pulsante di attivazione/disattivazione Attiva i log di Cloud su Attivato. I Google Cloud tipi di log supportati possono essere esportati nell'istanza Google SecOps.

Per le best practice su quali filtri di log utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Le sezioni seguenti forniscono informazioni sui filtri di esportazione.

Impostazioni del filtro di esportazione personalizzato

Per impostazione predefinita, Cloud Audit Logs (attività di amministrazione ed evento di sistema) e i log di Cloud DNS vengono inviati all'istanza Google SecOps. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query per i log di Google.

Per definire un filtro personalizzato per i log:

Definisci il filtro creando un filtro personalizzato per i log utilizzando il linguaggio di query di logging. Per informazioni su come definire questo tipo di filtro, consulta Lingua di query di log.
Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
Vai alla pagina Google SecOps
Avvia Esplora log utilizzando il link fornito nella scheda Impostazioni filtro di esportazione.
Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.
Copia la nuova query nel campo Esplora log > Query e poi fai clic su Esegui query per testarla.
Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google SecOps. Quando il filtro è pronto, copialo nella sezione Impostazioni del filtro di esportazione personalizzato per Google SecOps.
Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

Sezione delle impostazioni del filtro di esportazione personalizzato
Fai clic sull'icona di modifica del campo Filtro di esportazione e incolla il filtro nel campo.
Fai clic sul pulsante Salva. Il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nell'istanza Google SecOps.
Puoi reimpostare il filtro di esportazione sulla versione predefinita facendo clic su Ripristina impostazioni predefinite. Assicurati innanzitutto di salvare una copia del filtro personalizzato.

Ottimizzare i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un volume elevato di dati senza un valore significativo per il rilevamento delle minacce. Se scegli di inviare questi log a Google SecOps, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi ad alto volume, come le operazioni di lettura ed elencazione di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per saperne di più sulla regolazione dei log di accesso ai dati generati da Cloud Audit Logs, consulta Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione mostrano come includere o escludere l'esportazione di determinati tipi di log nell'istanza Google SecOps.

Esempio di filtro di esportazione: includi altri tipi di log

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi da un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludi i log di un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera Google Cloud organizzazione, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportare i metadati delle risorse Google Cloud

Puoi esportare i Google Cloud metadati delle risorse da Cloud Asset Inventory in Google SecOps. Questi metadati delle risorse sono ricavati da Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:

Ambiente
Località
Zona
Modelli hardware
Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di Google Cloud metadati delle risorse verranno esportati nell'istanza Google SecOps:

GCP_BIGQUERY_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_STORAGE_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_SQL_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di Google Cloud metadati delle risorse:

Nome dell'applicazione: Google-iamSample/0.1
Nome progetto: projects/my-project

Google Cloud

Per esportare i Google Cloud metadati delle risorse in Google SecOps, imposta il pulsante di attivazione/disattivazione Metadati di Cloud Asset su Attivato.

Abilita i metadati delle risorse cloud.

Per saperne di più sugli analizzatori di contesto, consulta Analizzatori di contesto di Google SecOps.

Esportare i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google SecOps.

Per ulteriori informazioni sui risultati di ETD, consulta la Panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google SecOps, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato.

Esportare i dati di Sensitive Data Protection in Google SecOps

Per importare i metadati delle risorse Sensitive Data Protection (DLP_CONTEXT), svolgi i seguenti passaggi:

Attiva l' Google Cloud importazione dei dati completando la sezione precedente di questo documento.
Configura Sensitive Data Protection per profilare i dati.
Configura la configurazione dell'analisi per pubblicare i profili dati su Google SecOps.

Per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery, consulta la documentazione di Sensitive Data Protection.

Disattiva Google Cloud l'importazione dei dati

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud sono diversi a seconda della configurazione di Google SecOps. Scegli una delle seguenti opzioni:

Se l'istanza Google SecOps è associata a un progetto di tua proprietà e gestione:
1. Seleziona il progetto associato all'istanza Google SecOps.
2. Nella console Google Cloud, vai alla scheda Importazione in Google SecOps.
  Vai alla pagina Google SecOps
3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivato.
5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattivarle, segui questi passaggi per ogni organizzazione.
Se l'istanza Google SecOps è associata a un progetto Google Cloud di tua proprietà e gestione:

Nota: dopo aver completato questi passaggi, dovrai ottenere un nuovo codice di accesso una tantum dal tuo rappresentante di Google SecOps e completare la procedura per abilitare l'importazione diretta da Google Cloud per riavviare l'importazione dei log.
Google Cloud
1. Vai alla pagina Google SecOps > Importazione nella console Google Cloud.
  Vai alla pagina Google SecOps
2. Nel menu Risorse, seleziona l'organizzazione associata all'istanza Google SecOps da cui stai importando i dati.
3. Seleziona la casella Voglio disconnettermi da Google SecOps e interrompere l'invio Google Cloud di log in Google SecOps.
4. Fai clic su Disconnetti Google SecOps.

Controllare la frequenza di importazione

Quando la frequenza di importazione dati per un tenant raggiunge una determinata soglia, Google Security Operations limita la frequenza di importazione dei nuovi feed di dati per impedire a un'origine con una frequenza di importazione elevata di influire sulla frequenza di importazione di un'altra origine dati. In questo caso, si verifica un ritardo, ma non vengono persi dati. La soglia viene determinata dal volume di importazione e dalla cronologia di utilizzo del tenant.

Puoi richiedere un aumento del limite di frequenza contattando l'assistenza clienti Google Cloud.

Risoluzione dei problemi

Se le relazioni tra risorse e identità non sono presenti nell'istanza Google SecOps, disattiva e riattiva l'importazione diretta dei dati dei log in Google SecOps.
I Google Cloud metadati delle risorse vengono importati periodicamente in Google SecOps. Attendi diverse ore prima che le modifiche siano visibili nelle API e nell'interfaccia utente di Google SecOps.

Passaggi successivi

Apri l'istanza Google SecOps utilizzando l'URL specifico del cliente fornito dal tuo rappresentante di Google SecOps.
Scopri di più su Google SecOps.