Importa Google Cloud i dati in Google Security Operations

Questa pagina descrive come attivare e disattivare l' Google Cloud importazione dei dati in Google SecOps. In questo modo puoi archiviare, cercare ed esaminare informazioni di sicurezza aggregate per la tua azienda, fino a mesi o più indietro, in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare Google Cloud i dati a Google SecOps. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare un filtro speciale di Cloud Logging per inviare tipi di log specifici a Google SecOps in tempo reale. Questi log vengono generati dai servizi. Google Cloud

Google Security Operations importa solo i tipi di log supportati. I tipi di log disponibili includono:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Log eventi di Windows
• Syslog di Linux
• Sysmon per Linux
• Zeek
• Google Kubernetes Engine
• Audit Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Log di Cloud Run (GCP_RUN)

Per informazioni dettagliate sui filtri dei log specifici e su altri dettagli di importazione, vedi Esportare Google Cloud i log in Google SecOps.

Puoi anche inviare Google Cloud metadati delle risorse utilizzati per l'arricchimento del contesto. Per maggiori dettagli, vedi Esportare Google Cloud i metadati delle risorse in Google SecOps.

Opzione 2: Google Cloud spazio di archiviazione

Cloud Logging può instradare i log in Cloud Storage da Google SecOps in base a una pianificazione.

Per informazioni dettagliate su come configurare Cloud Storage per Google SecOps, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare Google Cloud i dati in un'istanza Google SecOps, devi completare i seguenti passaggi:

1. Concedi i seguenti ruoli IAM necessari per accedere alla sezione Google SecOps:

   • Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
   • Visualizzatore del servizio Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
   • Editor di amministrazione di Security Center (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati delle risorse cloud.

2. Se prevedi di abilitare i metadati di Cloud Asset, devi eseguire l'onboarding dell'organizzazione in Security Command Center. Per ulteriori informazioni, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concedere i ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

1. Accedi all' Google Cloud organizzazione a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.

2. Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

3. Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google SecOps per trovare i ruoli IAM.

4. Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa i seguenti passaggi:

1. Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.

2. Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui il seguente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
   • USER_EMAIL: l'indirizzo email dell'utente.

3. Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando gcloud, esegui il seguente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Per concedere il ruolo Editor amministratore di Security Center utilizzando gcloud, esegui il seguente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Attiva l'importazione diretta da Google Cloud

I passaggi per abilitare l'importazione diretta da Google Cloud sono diversi a seconda della proprietà del progetto a cui è associata l'istanza Google SecOps.

• Se è associato a un progetto di tua proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà del cliente. Questo approccio ti consente di configurare l'importazione dei dati da più di un' Google Cloud organizzazione.

• Se è associato a un progetto di tua Google Cloud proprietà e gestione, segui i passaggi descritti in Configurare l'importazione quando il progetto è di proprietà di Google Cloud.

Dopo aver configurato l'importazione diretta, i tuoi Google Cloud dati vengono inviati a Google SecOps. Puoi utilizzare le funzionalità di analisi di Google SecOps per esaminare i problemi relativi alla sicurezza.

Configurare l'importazione quando il progetto è di proprietà del cliente

Se il progetto è di tua proprietà, segui questi passaggi. Google Cloud

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificare una configurazione esistente, segui questi passaggi.

Quando esegui la migrazione di un'istanza Google SecOps esistente in modo che si leghi a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita la migrazione anche della configurazione dell'importazione diretta.

1. Vai alla pagina Google SecOps > Impostazioni importazione nella console Google Cloud.
   Vai alla pagina Google SecOps
2. Seleziona il progetto associato all'istanza Google SecOps.

3. Nel menu Organizzazione, seleziona l'organizzazione da cui verranno esportati i log. Il menu mostra le organizzazioni a cui hai l'autorizzazione di accesso. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'istanza Google SecOps diversa.

   

4. Nella sezione Impostazione di importazione di Google Cloud, fai clic sull'opzione di attivazione/disattivazione Invio di dati a Google Security Operations per attivare l'invio dei log a Google SecOps.

5. Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google SecOps:

   • Cloud Logging di Google: per ulteriori informazioni su questa opzione, consulta Esportare Google Cloud i log.
   • Metadati delle risorse Cloud: per ulteriori informazioni su questa opzione, consulta Esporta Google Cloud metadati della risorsa.
   • Risultati di Security Command Center Premium: per ulteriori informazioni su questa opzione, consulta Esportare i risultati di Security Command Center Premium.

6. Nella sezione Impostazioni dei filtri di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta i Google Cloud tipi di log supportati per l'esportazione.

7. Per importare i log da un'altra organizzazione nella stessa istanza di Google SecOps, selezionatela dal menu Organizzazione e poi ripetete i passaggi per definire il tipo di dati da esportare e i filtri di esportazione. Nel menu Organizzazione sono elencate più organizzazioni.

8. Per esportare i dati di Sensitive Data Protection (in precedenza dati di Cloud Data Loss Prevention di Google) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Configurare l'importazione quando un progetto è di proprietà di Google Cloud

Se Google Cloud è il proprietario del progetto, procedi nel seguente modo per configurare l'importazione diretta dalla tua Google Cloud organizzazione nell'istanza Google SecOps:

1. Vai alla scheda Google SecOps > Panoramica > Importazione nella console Google Cloud. Vai alla scheda Importazione di Google SecOps
2. Fai clic sul pulsante Gestisci le impostazioni di importazione dell'organizzazione.
3. Se viene visualizzato il messaggio Pagina non visibile per i progetti, seleziona un'organizzazione e fai clic su Seleziona.
4. Inserisci il codice di accesso una tantum nel campo Codice di accesso una tantum a Google SecOps.
5. Seleziona la casella Accetto i termini e le condizioni di Google SecOps relativi all'utilizzo dei miei Google Cloud dati.
6. Fai clic su Connetti Google SecOps.
7. Vai alla scheda Impostazioni di importazione globali dell'organizzazione.

8. Seleziona il tipo di dati da inviare attivando una o più delle seguenti opzioni:

   • Google Cloud Logging: per ulteriori informazioni su questa opzione, consulta Esportare Google Cloud i log.
   • Metadati delle risorse Cloud Per saperne di più su questa opzione, consulta Esportare Google Cloud i metadati delle risorse.
   • Risultati di Security Command Center Premium: per ulteriori informazioni su questa opzione, consulta Esportare i risultati di Security Command Center Premium.

9. Vai alla scheda Impostazioni filtro di esportazione.

10. Nella sezione Impostazioni dei filtri di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta i Google Cloud tipi di log supportati per l'esportazione.

11. Per esportare i dati di Sensitive Data Protection (in precedenza dati di Cloud Data Loss Prevention di Google) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Esportare i log Google Cloud

Dopo aver attivato Cloud Logging, puoi esportare i dati dei log per i tipi di log supportatiGoogle Cloud nella tua istanza Google SecOps.

Per esportare Google Cloud i log in Google SecOps, imposta il pulsante di attivazione/disattivazione Attiva i log di Cloud su Attivato.

Tipi di log supportati per l'esportazione

Puoi personalizzare il filtro di esportazione dei log da esportare in Google SecOps. Includi o escludi i tipi di log aggiungendo o rimuovendo i filtri di esportazione supportati elencati nel seguente elenco:

Puoi esportare i seguenti Google Cloud tipi di log nell'istanza Google SecOps. L'elenco seguente è organizzato per tipo di log ed etichetta di importazione di Google SecOps corrispondente:

• Audit log di Cloud (GCP_CLOUDAUDIT):

  Sono inclusi: attività di amministrazione, evento di sistema, trasparenza degli accessi e log di accesso negato in base ai criteri.

  • log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Log di Cloud NAT (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Log di Cloud DNS (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)

• Log di Cloud Next Generation Firewall (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing.

  • log_id("requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

Personalizzare le impostazioni del filtro di esportazione

Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed evento di sistema) e i log di Cloud DNS vengono inviati all'istanza Google SecOps. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log.

Per definire un filtro personalizzato per i log:

1. Identifica i log per il filtro personalizzato utilizzando lo strumento di definizione dell'ambito dei log.

2. Nella sezione Filtro log generato automaticamente che segue lo strumento di definizione dell'ambito dei log, copia il codice del filtro log personalizzato generato.

3. Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
   Vai alla pagina Google SecOps
   

4. Avvia Esplora log utilizzando il link nella scheda Impostazioni filtro di esportazione.

5. Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

6. Copia la nuova query nel campo Esplora log > Query e poi fai clic su Esegui query per testarla.

7. Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google SecOps. Quando il filtro è pronto, copialo nella sezione Impostazioni del filtro di esportazione personalizzato per Google SecOps.

8. Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

9. Fai clic sull'icona Modifica nel campo Filtro di esportazione e poi incolla il filtro copiato nel campo.

10. Fai clic su Salva.

    • Se viene visualizzato il seguente messaggio di errore: "Il filtro fornito potrebbe consentire tipi di log non supportati", è possibile che nel filtro di esportazione sia incluso un tipo di log non supportato. Rimuovi il tipo di log non supportato dal filtro di esportazione. Includi solo i tipi di log elencati in: Google Cloud tipi di log supportati per l'esportazione.

    • Se il salvataggio va a buon fine, il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nell'istanza Google SecOps.

    • (Facoltativo) Per reimpostare il filtro di esportazione sulla versione predefinita, salva una copia del filtro personalizzato e poi fai clic su Reimposta su predefinito.

Ottimizzare i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un volume elevato di dati senza un valore significativo per il rilevamento delle minacce. Se scegli di inviare questi log a Google SecOps, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi ad alto volume, come le operazioni di lettura ed elencazione di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per saperne di più sulla regolazione dei log di accesso ai dati generati dagli audit log di Cloud, consulta Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione mostrano come puoi includere o escludere determinati tipi di log dall'esportazione nell'istanza Google SecOps.

Esempio di filtro di esportazione: includi altri tipi di log

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludi i log di un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera Google Cloud organizzazione, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportare i metadati delle risorse Google Cloud

Puoi esportare i Google Cloud metadati delle risorse da Cloud Asset Inventory in Google SecOps. Questi metadati delle risorse sono ricavati da Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:

• Ambiente
• Località
• Zona
• Modelli hardware
• Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di Google Cloud metadati delle risorse verranno esportati nell'istanza Google SecOps:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di Google Cloud metadati delle risorse:

• Nome dell'applicazione: Google-iamSample/0.1
• Nome progetto: projects/my-project

Per esportare i Google Cloud metadati delle risorse in Google SecOps, imposta il pulsante di attivazione/disattivazione Metadati di Cloud Asset su Attivato.

Per saperne di più sugli analizzatori di contesto, consulta Analizzatori di contesto di Google SecOps.

Esportare i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google SecOps.

Per ulteriori informazioni sui risultati di ETD, consulta la Panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google SecOps, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato.

Esportare i dati di Sensitive Data Protection

Puoi esportare i dati della Protezione dei dati sensibili in Google SecOps.

Per importare i metadati delle risorse Sensitive Data Protection (DLP_CONTEXT), svolgi i seguenti passaggi:

1. Attiva l' Google Cloud importazione dei dati completando la sezione precedente di questo documento.
2. Configura Sensitive Data Protection per profilare i dati.
3. Imposta la configurazione di scansione in modo da pubblicare i profili dei dati su Google SecOps.

Per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery, consulta la documentazione di Sensitive Data Protection.

Disattiva Google Cloud l'importazione dei dati

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud sono diversi a seconda della configurazione di Google SecOps. Scegli una delle opzioni seguenti:

• Se l'istanza Google SecOps è associata a un progetto di tua proprietà e gestione:

  1. Seleziona il progetto associato all'istanza Google SecOps.
  2. Nella console Google Cloud, vai alla scheda Importazione in Google SecOps.
     Vai alla pagina Google SecOps
  3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
  4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivato.
  5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattivarle anche queste, svolgi questi passaggi per ogni organizzazione.

• Se l'istanza Google SecOps è associata a un progetto Google Cloud di tua proprietà e gestione:

  Google Cloud
  1. Vai alla pagina Google SecOps > Importazione nella console Google Cloud.
     Vai alla pagina Google SecOps
  2. Nel menu delle risorse, seleziona l'organizzazione associata all'istanza Google SecOps da cui stai importando i dati.
  3. Seleziona la casella Voglio disconnettermi da Google SecOps e interrompere l'invio Google Cloud di log in Google SecOps.
  4. Fai clic su Disconnetti Google SecOps.

Controllare la frequenza di importazione

Quando la frequenza di importazione dei dati per un tenant raggiunge una determinata soglia, Google Security Operations limita la frequenza di importazione dei nuovi feed di dati per impedire a un'origine con una frequenza di importazione elevata di influire sulla frequenza di importazione di un'altra origine dati. In questo caso, si verifica un ritardo, ma non vengono persi dati. La soglia viene determinata dal volume di importazione e dalla cronologia di utilizzo del tenant.

Puoi richiedere un aumento del limite di frequenza contattando l'assistenza clienti Google Cloud.

Risoluzione dei problemi

• Se le relazioni tra risorse e identità non sono presenti nell'istanza Google SecOps, disattiva e riattiva l'importazione diretta dei dati dei log in Google SecOps.
• I metadati delle risorseGoogle Cloud vengono importati periodicamente in Google SecOps. Attendi diverse ore prima che le modifiche vengano visualizzate nelle API e nell'interfaccia utente di Google SecOps.

• Quando aggiungi un tipo di log al filtro di esportazione, potresti visualizzare il messaggio "Il filtro fornito potrebbe consentire tipi di log non supportati".

  Soluzione alternativa: includi nel filtro di esportazione solo i tipi di log che compaiono nel seguente elenco: Google Cloud tipi di log supportati per l'esportazione.

Passaggi successivi

• Apri l'istanza Google SecOps utilizzando l'URL specifico del cliente fornito dal tuo rappresentante di Google SecOps.
• Scopri di più su Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.