Ingérer des données Google Cloud dans Google Security Operations

Compatible avec:

Cette page explique comment activer et désactiver l'ingestion de vos données Google Cloud dans Google SecOps. Google SecOps vous permet de stocker, de rechercher et d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus, conformément à votre période de conservation des données.

Présentation

Il existe deux options pour envoyer des données Google Cloud à Google SecOps. Le choix de l'option appropriée dépend du type de journal.

Option 1: Ingestion directe

Un filtre Cloud Logging spécial peut être configuré dans Google Cloud pour envoyer des types de journaux spécifiques à Google SecOps en temps réel. Ces journaux sont générés par les services Google Cloud .

Google Security Operations n'ingère que les types de journaux compatibles. Les types de journaux disponibles sont les suivants:

  • Cloud Audit Logs
  • Cloud NAT
  • Cloud DNS
  • Pare-feu Cloud nouvelle génération
  • Cloud Intrusion Detection System
  • Cloud Load Balancing
  • Cloud SQL
  • Journaux des événements Windows
  • Syslog Linux
  • Linux Sysmon
  • Zeek
  • Google Kubernetes Engine
  • Daemon d'audit (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Journaux Cloud Run (GCP_RUN)

Pour en savoir plus sur les filtres de journaux spécifiques et sur l'ingestion, consultez Exporter Google Cloud des journaux vers Google SecOps.

Vous pouvez également envoyer des métadonnées d' Google Cloud éléments utilisées pour l'enrichissement du contexte. Pour en savoir plus, consultez Exporter les métadonnées des éléments Google Cloud vers Google SecOps.

Option 2: Google Cloud Stockage

Cloud Logging peut acheminer les journaux vers Cloud Storage afin qu'ils soient récupérés par Google SecOps de manière planifiée.

Pour savoir comment configurer Cloud Storage pour Google SecOps, consultez Gestion des flux: Cloud Storage.

Avant de commencer

Avant de pouvoir ingérer des données Google Cloud dans une instance Google SecOps, vous devez effectuer les étapes suivantes:

  1. Attribuez les rôles IAM suivants, qui sont requis pour accéder à la section Google SecOps:

    • Administrateur de services Chronicle (roles/chroniclesm.admin): rôle IAM permettant d'effectuer toutes les activités.
    • Lecteur de service Chronicle (roles/chroniclesm.viewer): rôle IAM permettant d'afficher uniquement l'état de l'ingestion.
    • Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor): requis pour activer l'ingestion des métadonnées des éléments cloud.

  2. Si vous prévoyez d'activer les métadonnées d'éléments cloud, vous devez intégrer l'organisation à Security Command Center. Pour en savoir plus, consultez la section Présentation de l'activation au niveau de l'organisation.

Attribuer des rôles IAM

Vous pouvez attribuer les rôles IAM requis à l'aide de la console Google Cloud ou de gcloud CLI.

Pour attribuer des rôles IAM à l'aide de Google Cloud Console, procédez comme suit :

  1. Connectez-vous à l' Google Cloud organisation à laquelle vous souhaitez vous connecter, puis accédez à l'écran IAM à l'aide de la section Produits > IAM et Administration > IAM.

  2. Sur l'écran IAM, sélectionnez l'utilisateur, puis cliquez sur Modifier le membre.

  3. Sur l'écran "Modifier les autorisations", cliquez sur Ajouter un autre rôle et recherchez Google SecOps pour trouver les rôles IAM.

  4. Une fois que vous avez attribué les rôles, cliquez sur Enregistrer.

Pour attribuer des rôles IAM à l'aide de la Google Cloud CLI, procédez comme suit:

  1. Vérifiez que vous êtes connecté à la bonne organisation. Pour effectuer la vérification, exécutez la commande gcloud init.

  2. Pour attribuer le rôle IAM "Administrateur du service Chronicle" à l'aide de gcloud, exécutez la commande suivante:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Remplacez les éléments suivants :

    • ORGANIZATION_ID: ID numérique de l'organisation.
    • USER_EMAIL : Adresse e-mail de l'utilisateur.

  3. Pour attribuer le rôle IAM de lecteur de service Chronicle à l'aide de gcloud, exécutez la commande suivante:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Pour attribuer le rôle Éditeur de l'administrateur du centre de sécurité à l'aide de gcloud, exécutez la commande suivante:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Activer l'ingestion directe à partir de Google Cloud

La procédure à suivre pour activer l'ingestion directe à partir de Google Cloud varie selon la propriété du projet auquel votre instance Google SecOps est associée.

Une fois l'ingestion directe configurée, vos Google Cloud données sont envoyées à Google SecOps. Vous pouvez utiliser les fonctionnalités d'analyse de Google SecOps pour examiner les problèmes liés à la sécurité.

Configurer l'ingestion lorsque le projet appartient au client

Si vous êtes le propriétaire du projet Google Cloud , procédez comme suit.

Vous pouvez configurer l'ingestion directe à partir de plusieurs organisations à l'aide de la même page de configuration au niveau du projet. Pour créer une configuration et modifier une configuration existante, procédez comme suit :

Lorsque vous migrez une instance Google SecOps existante pour qu'elle se lie à un projet que vous possédez, et si l'ingestion directe a été configurée avant la migration, la configuration de l'ingestion directe est également migrée.

  1. Accédez à la page Google SecOps > Paramètres d'ingestion dans la console Google Cloud.
    Accéder à la page Google SecOps
  2. Sélectionnez le projet associé à votre instance Google SecOps.

  3. Dans le menu Organisation, sélectionnez l'organisation à partir de laquelle les journaux seront exportés. Le menu affiche les organisations auxquelles vous êtes autorisé à accéder. La liste peut inclure des organisations qui ne sont pas associées à l'instance Google SecOps. Vous ne pouvez pas configurer une organisation qui envoie des données à une autre instance Google SecOps.

    Sélectionnez une organisation

  4. Dans la section Paramètre d'ingestion Google Cloud, cliquez sur l'option Envoi de données à Google Security Operations pour autoriser l'envoi de journaux à Google SecOps.

  5. Sélectionnez une ou plusieurs des options suivantes pour définir le type de données envoyées à Google SecOps:

  6. Dans la section Paramètres du filtre d'exportation du client, définissez des filtres d'exportation qui personnalisent les données Cloud Logging exportées vers Google SecOps. Consultez Exporter des journaux Google Cloud pour connaître les types de données de journal que vous exportez.

  7. Pour ingérer les journaux d'une autre organisation dans la même instance Google SecOps, sélectionnez l'organisation dans le menu Organisation, puis répétez les étapes pour définir le type de données à exporter et les filtres d'exportation. Plusieurs organisations s'affichent dans le menu Organisation.

  8. Pour exporter des données Google Cloud Cloud Data Loss Prevention vers Google SecOps, consultez la section Exporter des données Google Cloud Cloud Data Loss Prevention vers Google SecOps.

Configurer l'ingestion lorsqu'un projet appartient à Google Cloud

Si Google Cloud est propriétaire du projet, procédez comme suit pour configurer l'ingestion directe de votre Google Cloud organisation dans votre instance Google SecOps:

  1. Accédez à l'onglet Google SecOps > Vue d'ensemble > Ingestion de la console Google Cloud. Accéder à l'onglet "Ingestion" de Google SecOps
  2. Cliquez sur le bouton Gérer les paramètres d'ingestion de l'organisation.
  3. Si le message Page non visible pour les projets s'affiche, sélectionnez une organisation, puis cliquez sur Sélectionner.
  4. Saisissez votre code d'accès unique dans le champ 1-time Google SecOps access code (Code d'accès unique Google SecOps).
  5. Cochez la case intitulée I consent to the terms and conditions of Google SecOps's usage of my Google Cloud data (J'accepte les conditions d'utilisation de Google SecOps liées à l'exploitation de mes données).
  6. Cliquez sur Connecter Google SecOps.
  7. Accédez à l'onglet Paramètres d'ingestion globaux de l'organisation.

  8. Sélectionnez le type de données qui seront envoyées en activant une ou plusieurs des options suivantes:

  9. Accédez à l'onglet Paramètres du filtre d'exportation.

  10. Dans la section Paramètres du filtre d'exportation du client, définissez des filtres d'exportation qui personnalisent les données Cloud Logging exportées vers Google SecOps. Consultez Exporter des journaux Google Cloud pour connaître les types de données de journal que vous exportez.

  11. Pour exporter des données Google Cloud Cloud Data Loss Prevention vers Google SecOps, consultez la section Exporter des données Google Cloud Cloud Data Loss Prevention vers Google SecOps.

Journaux d'exportation Google Cloud

Après avoir activé Cloud Logging, vous pouvez exporter les types de donnéesGoogle Cloud suivants vers votre instance Google SecOps, listés par type de journal et par étiquette d'ingestion Google SecOps:

  • Cloud Audit Logs(GCP_CLOUDAUDIT): inclut les journaux "Activités d'administration", "Événements système", "Access Transparency" et "Refus de règles".
    • log_id("cloudaudit.googleapis.com/activity") (exporté par le filtre par défaut)
    • log_id("cloudaudit.googleapis.com/system_event") (exporté par le filtre par défaut)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • Journaux Cloud NAT(GCP_CLOUD_NAT) :
    • log_id("compute.googleapis.com/nat_flows")
  • Journaux Cloud DNS (GCP_DNS) :
    • log_id("dns.googleapis.com/dns_queries") (exporté par le filtre par défaut)
  • Journaux du pare-feu Cloud nouvelle génération(GCP_FIREWALL) :
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS :
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING :
    • log_id("requests") Cela inclut les journaux de Google Cloud Armor et de Cloud Load Balancing.
  • GCP_CLOUDSQL :
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM :
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON :
    • log_id("sysmon.raw")
  • WINEVTLOG :
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON :
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE :
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • AUDITD :
    • log_id("audit_log")
  • GCP_APIGEE_X :
    • log_id("apigee.googleapis.com/ingress_instance")
    • log_id("apigee.googleapis.com")
    • log_id("apigee-logs")
    • log_id("apigee")
    • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
  • GCP_RECAPTCHA_ENTERPRISE :
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN :
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE :
    • log_id("networksecurity.googleapis.com/firewall_threat")

Pour exporter les journaux Google Cloud vers Google SecOps, définissez l'option Activer les journaux Cloud sur Activé. Les types de journaux Google Cloud compatibles peuvent être exportés vers votre instance Google SecOps.

Pour connaître les bonnes pratiques concernant les filtres de journaux à utiliser, consultez Analyse des journaux de sécurité dans Google Cloud.

Paramètres du filtre d'exportation

Les sections suivantes fournissent des informations sur les filtres d'exportation.

Paramètres de filtre d'exportation personnalisés

Par défaut, vos Cloud Audit Logs (activités d'administration et événements système) et vos journaux Cloud DNS sont envoyés à votre instance Google SecOps. Toutefois, vous pouvez personnaliser le filtre d'exportation pour inclure ou exclure des types de journaux spécifiques. Le filtre d'exportation est basé sur le langage de requête de journalisation Google.

Pour définir un filtre personnalisé pour vos journaux, procédez comme suit:

  1. Définissez votre filtre en créant un filtre personnalisé pour vos journaux à l'aide du langage de requête de journalisation. Pour savoir comment définir ce type de filtre, consultez la page Langage de requête Logging.

  2. Accédez à la page Google SecOps dans la console Google Cloud, puis sélectionnez un projet.
    Accéder à la page Google SecOps

  3. Lancez l'explorateur de journaux à l'aide du lien fourni dans l'onglet Export Filter Settings (Paramètres du filtre d'exportation).

  4. Copiez votre nouvelle requête dans le champ Query (Requête), puis cliquez sur Run Query (Exécuter la requête) pour la tester.

  5. Copiez votre nouvelle requête dans le champ Logs Explorer > Query (Explorateur de journaux > Requête), puis cliquez sur Run Query (Exécuter la requête) pour la tester.

  6. Vérifiez que les journaux correspondants affichés dans l'explorateur de journaux correspondent exactement à ce que vous souhaitez exporter vers Google SecOps. Lorsque le filtre est prêt, copiez-le dans la section Paramètres du filtre d'exportation personnalisée pour Google SecOps.

  7. Revenez à la section Paramètres du filtre d'exportation personnalisé sur la page Google SecOps.

    Section "Paramètres de filtre d'exportation personnalisés"

  8. Cliquez sur l'icône Modifier pour le champ Filtre d'exportation, puis collez-y le filtre.

  9. Cliquez sur le bouton Enregistrer. Votre nouveau filtre personnalisé s'applique à tous les nouveaux journaux exportés vers votre instance Google SecOps.

  10. Pour rétablir la version par défaut du filtre d'exportation, cliquez sur Rétablir la valeur par défaut. Veillez d'abord à enregistrer une copie de votre filtre personnalisé.

Ajuster les filtres des journaux d'audit Cloud

Les journaux d'accès aux données écrits par Cloud Audit Logs peuvent générer un grand volume de données sans grande valeur pour la détection des menaces. Si vous choisissez d'envoyer ces journaux à Google SecOps, vous devez filtrer les journaux générés par les activités de routine.

Le filtre d'exportation suivant capture les journaux d'accès aux données et exclut les événements à fort volume, tels que les opérations de lecture et de liste de Cloud Storage et Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Pour en savoir plus sur l'ajustement des journaux d'accès aux données générés par Cloud Audit Logs, consultez Gérer le volume des journaux d'audit des accès aux données.

Exemples de filtres d'exportation

Les exemples de filtres d'exportation suivants montrent comment inclure ou exclure certains types de journaux de l'exportation vers votre instance Google SecOps.

Exemple de filtre d'exportation: inclure des types de journaux supplémentaires

Le filtre d'exportation suivant exporte les journaux Access Transparency en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemple de filtre d'exportation: inclure des journaux supplémentaires d'un projet spécifique

Le filtre d'exportation suivant exporte les journaux Access Transparency d'un projet spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation: inclure des journaux supplémentaires à partir d'un dossier spécifique

Le filtre d'exportation suivant exporte les journaux Access Transparency d'un dossier spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation: exclure les journaux d'un projet spécifique

Le filtre d'exportation suivant exporte les journaux par défaut de l'ensemble de l'organisation Google Cloud , à l'exception d'un projet spécifique:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporter les métadonnées des éléments Google Cloud

Vous pouvez exporter vos métadonnées d' Google Cloud éléments depuis l'inventaire des éléments cloud vers Google SecOps. Ces métadonnées d'éléments sont extraites de votre inventaire des éléments cloud et comprennent des informations sur vos éléments, vos ressources et vos identités, dont les informations suivantes:

  • Environnement
  • Emplacement
  • Zone
  • Modèles de matériel
  • Relations de contrôle des accès entre les ressources et les identités

Les types de métadonnées d' Google Cloud éléments suivants seront exportés vers votre instance Google SecOps:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Voici des exemples de métadonnées d' Google Cloud éléments:

  • Nom de l'application : Google-iamSample/0.1
  • Nom du projet : projects/my-project

Pour exporter les métadonnées d' Google Cloud éléments vers Google SecOps, activez l'option Métadonnées d'éléments cloud sur Activé.

Activez les métadonnées d'éléments cloud.

Pour en savoir plus sur les analyseurs de contexte, consultez Analyseurs de contexte Google SecOps.

Exporter les résultats de Security Command Center

Vous pouvez exporter les résultats de la détection des menaces liées aux événements de Security Command Center Premium et tous les autres résultats vers Google SecOps.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Présentation d'Event Threat Detection.

Pour exporter vos résultats Security Command Center Premium vers Google SecOps, activez le bouton Résultats de Security Command Center Premium sur Activé.

Exporter des données de protection des données sensibles vers Google SecOps

Pour ingérer les métadonnées des composants de protection des données sensibles (DLP_CONTEXT), procédez comme suit:

  1. Activez l'ingestion des données Google Cloud en suivant la section précédente de ce document.
  2. Configurez la protection des données sensibles pour profiler les données.
  3. Configurez la configuration d'analyse pour publier des profils de données dans Google SecOps.

Pour en savoir plus sur la création de profils de données pour les données BigQuery, consultez la documentation sur Sensitive Data Protection.

Désactiver l'ingestion de données Google Cloud

La procédure de désactivation de l'ingestion directe des données à partir de Google Cloud varie selon la configuration de Google SecOps. Choisissez l'une des options suivantes :

  • Si votre instance Google SecOps est associée à un projet que vous possédez et gérez, procédez comme suit:

    1. Sélectionnez le projet associé à votre instance Google SecOps.
    2. Dans la console Google Cloud, accédez à l'onglet Ingestion sous Google SecOps.
      Accéder à la page Google SecOps
    3. Dans le menu Organisation, sélectionnez l'organisation à partir de laquelle les journaux sont exportés.
    4. Définissez le bouton Envoi de données à Google Security Operations sur Désactivé.
    5. Si vous avez configuré l'exportation de données à partir de plusieurs organisations et que vous souhaitez également les désactiver, procédez comme suit pour chaque organisation.

  • Si votre instance Google SecOps est associée à un projet dont vous êtes le propriétaire et le gestionnaire, procédez comme suit : Google Cloud

    1. Accédez à la page Google SecOps > Ingestion de la console Google Cloud.
      Accéder à la page Google SecOps
    2. Dans le menu des ressources, sélectionnez l'organisation associée à votre instance Google SecOps et à partir de laquelle vous insérez des données.
    3. Cochez la case I want to disconnect Google SecOps and stop sending Google Cloud Logs into Google SecOps (Je souhaite déconnecter Google SecOps et arrêter d'envoyer des journaux Google Cloud à Google SecOps).
    4. Cliquez sur Déconnecter Google SecOps.

Contrôler le débit d'ingestion

Lorsque le taux d'ingestion de données d'un locataire atteint un certain seuil, Google Security Operations limite le taux d'ingestion des nouveaux flux de données pour éviter qu'une source à fort taux d'ingestion n'affecte le taux d'ingestion d'une autre source de données. Dans ce cas, il y a un délai, mais aucune donnée n'est perdue. Le volume d'ingestion et l'historique d'utilisation du locataire déterminent le seuil.

Vous pouvez demander une augmentation de la limite de débit en contactant Cloud Customer Care.

Dépannage

  • Si les relations entre les ressources et les identités sont manquantes dans votre instance Google SecOps, désactivez, puis réactivez l'ingestion directe des données de journal dans Google SecOps.
  • Les métadonnées des Google Cloud éléments sont régulièrement ingérées dans Google SecOps. Attendez plusieurs heures avant que les modifications ne soient visibles dans l'UI et les API Google SecOps.

Étape suivante

  • Ouvrez votre instance Google SecOps à l'aide de l'URL spécifique à votre client, fournie par votre conseiller Google SecOps.
  • En savoir plus sur Google SecOps