Google Cloud-Daten in Google Security Operations aufnehmen

Auf dieser Seite wird beschrieben, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Google Security Operations aktivieren und deaktivieren. Mit Google Security Operations können Sie die zusammengefassten Sicherheitsinformationen für Ihr Unternehmen speichern, durchsuchen und prüfen, die je nach Datenaufbewahrungsdauer über Monate oder länger zurückliegen.

Überblick

Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die Auswahl der richtigen Option hängt vom Logtyp ab.

Option 1: Direkte Aufnahme

In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google Security Operations zu senden. Diese Logs werden von Google Cloud-Diensten generiert.

Google Security Operations empfängt Logs auch dann, wenn sie auf Projektebene in Google Cloud ausgeschlossen, aber sowohl im Logexportfilter als auch im Google Cloud-Logging auf Organisationsebene enthalten sind. Wenn Sie Logs von Google Security Operations ausschließen möchten, müssen Sie den Filter für den Logexport von Google Security Operations in Google Cloud aktualisieren.

Zu den verfügbaren Logtypen gehören:

Verwenden Sie Option 2, um Compute Engine- oder GKE-Anwendungslogs (Google Kubernetes Engine) wie Apache, Nginx oder IIS zu erfassen. Erstellen Sie außerdem ein Support-Ticket bei Google Security Operations, um Feedback für den zukünftigen Support als Logtyp mit Option 1 zu geben.

Weitere Informationen zu bestimmten Logfiltern und weiteren Datenaufnahmedetails finden Sie unter Google Cloud-Logs in Google Security Operations exportieren.

Zusätzliche Google Cloud-Metadaten, die als Kontext zu Anreicherungszwecken verwendet werden, können auch an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Google Security Operations exportieren.

Option 2: Google Cloud Storage

Cloud Logging kann Logs an Cloud Storage weiterleiten, damit diese von Google Security Operations nach einem Zeitplan abgerufen werden.

Weitere Informationen zum Konfigurieren von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.

Hinweise

Bevor Sie Ihre Google Cloud-Daten in Ihre Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:

  1. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, um den einmaligen Zugriffscode zu erhalten, den Sie für die Aufnahme Ihrer Google Cloud-Daten benötigen.

  2. Gewähren Sie die folgenden IAM-Rollen, die für den Zugriff auf den Abschnitt „Google Security Operations“ erforderlich sind:

    • Chronicle Service Admin (roles/chroniclesm.admin): IAM-Rolle zum Ausführen aller Aktivitäten.
    • Chronicle Service Viewer (roles/chroniclesm.viewer): IAM-Rolle zum Ansehen des Status der Aufnahme.
    • Sicherheitscenter-Admin-Bearbeiter (roles/securitycenter.adminEditor): Erforderlich, um die Aufnahme von Cloud Asset Metadata zu aktivieren.
  3. Wenn Sie Cloud Asset Metadata aktivieren möchten, müssen Sie außerdem entweder den Google Cloud-Dienst der Standard- oder der Premium-Stufe von Security Command Center aktivieren. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud CLI gewähren.

So weisen Sie IAM-Rollen über die Google Cloud Console zu:

  1. Melden Sie sich bei der Google Cloud-Organisation an, zu der Sie eine Verbindung herstellen möchten, und rufen Sie den IAM-Bildschirm über Produkte > IAM und Verwaltung > IAM auf.
  2. Wählen Sie im IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

  3. Klicken Sie im Bildschirm "Berechtigungen bearbeiten" auf Weitere Rolle hinzufügen und suchen Sie nach "Google Security Operations", um die IAM-Rollen zu finden.

  4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mit der Google Cloud CLI zuzuweisen:

  1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

  2. Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chonicle Service Admin“ mit gcloud zu gewähren:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/chroniclesm.admin
    

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die numerische Organisations-ID.
    • USER_EMAIL ist die E-Mail-Adresse des Administrators.
  3. Führen Sie den folgenden Befehl aus, um mit gcloud die IAM-Rolle „Google Security Operations Service Viewer“ zu gewähren:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/chroniclesm.viewer
    
  4. Führen Sie den folgenden Befehl aus, um mit gcloud die Rolle „Sicherheitscenter-Administratorbearbeiter“ zu gewähren:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
     --member "user:USER_EMAIL" \
     --role roles/securitycenter.adminEditor`
    

Google Cloud-Datenaufnahme aktivieren

Google Cloud-Daten werden über eine private interne API zwischen Security Command Center und Google Security Operations aufgenommen. Die Aufnahme erreicht nie das externe Netzwerk und verwendet niemals IP-Adressen. Google greift direkt auf die Google Cloud-Logs zu. Dies erfolgt mithilfe der Authentifizierung mit dem einmaligen Code, der von Google Security Operations for Security Command Center bereitgestellt wird.

Führen Sie die folgenden Schritte aus, um die Datenaufnahme aus Ihrer Google Cloud-Organisation in Ihre Google Security Operations-Instanz zu aktivieren:

  1. Rufen Sie die Seite „Google Security Operations“ für die Google Cloud Console auf.
    Zur Google Security Operations-Seite

  2. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Google Security Operations-Zugriffscode ein.

  3. Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen von Chronicle für meine Google Cloud-Daten zu, um der Nutzung von Google Security Operations zuzustimmen.

  4. Klicken Sie auf Connect Google Security Operations (Google Security Operations verbinden).

Ihre Google Cloud-Daten werden jetzt an Google Security Operations gesendet. Sie können die Analysefunktionen von Google Security Operations verwenden, um sicherheitsbezogene Probleme zu untersuchen. In den folgenden Abschnitten wird beschrieben, wie Sie die Arten von Google Cloud-Daten anpassen können, die an Google Security Operations gesendet werden.

Google Cloud-Logs nach Google Security Operations exportieren

Sie können die folgenden Arten von Google Cloud-Daten in Ihre Google Security Operations-Instanz exportieren:

  • GCP_CLOUDAUDIT:
    • log_id("cloudaudit.googleapis.com/activity") (durch den Standardfilter exportiert)
    • log_id("cloudaudit.googleapis.com/system_event") (durch den Standardfilter exportiert)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • GCP_CLOUD_NAT:
    • log_id("compute.googleapis.com/nat_flows")
  • GCP_DNS:
    • log_id("dns.googleapis.com/dns_queries") (durch den Standardfilter exportiert)
  • GCP_FIREWALL:
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS:
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING:
    • log_id("requests")
    • log_id("loadbalancing.googleapis.com/external_regional_requests")
    • log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
    • log_id("networksecurity.googleapis.com/dos_attack")
    • Dazu gehören Logs aus Google Cloud Armor und Cloud Load Balancing
  • GCP_CLOUDSQL:
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM:
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON:
    • log_id("sysmon.raw")
  • WINEVTLOG:
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON:
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE:
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • ÜBERPRÜFUNG:
    • log_id("audit_log")
  • GCP_APIGEE_X:
    • log_id("apigee-logs")
    • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
    • Passen Sie den regulären Ausdruck des Logfilters nach Bedarf an
  • GCP_RECAPTCHA_ENTERPRISE:
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN:
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE:
    • log_id("networksecurity.googleapis.com/firewall_threat")

Aktivieren Sie die Option Google Cloud-Logs, um Ihre Google Cloud-Logs nach Google Security Operations zu exportieren. Alle oben aufgeführten Google Cloud-Logtypen werden in Ihre Google Security Operations-Instanz exportiert.

Best Practices zur Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.

Filtereinstellungen exportieren

Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivität und Systemereignis) und Cloud DNS-Logs an Ihr Google Security Operations-Konto gesendet. Sie können den Exportfilter jedoch anpassen, um bestimmte Logtypen ein- oder auszuschließen. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.

So definieren Sie einen benutzerdefinierten Filter für Ihre Logs:

  1. Definieren Sie Ihren Filter, indem Sie mithilfe der Logging-Abfragesprache einen benutzerdefinierten Filter für Ihre Logs erstellen. In der folgenden Dokumentation wird beschrieben, wie Sie diesen Filtertyp definieren: /logging/docs/view/logging-query-language

  2. Rufen Sie den Log-Explorer über den Link auf dem Tab Filtereinstellungen exportieren auf. Kopieren Sie Ihre neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.

    Prüfen Sie, ob die im Log-Explorer angezeigten übereinstimmenden Logs genau den Logs entsprechen, die Sie nach Google Security Operations exportieren möchten.

Führen Sie auf dem Tab Filtereinstellungen exportieren die folgenden Schritte aus:

  1. Wenn der Filter fertig ist, klicken Sie auf das Bearbeitungssymbol und fügen Sie ihn in das Feld Filter exportieren ein.

  2. Klicken Sie auf Benutzerdefinierten Filter speichern. Der neue benutzerdefinierte Filter wird auf alle neuen Logs angewendet, die in Ihr Google Security Operations-Konto exportiert wurden.

  3. Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie Ihres benutzerdefinierten Filters.

Filter für Cloud-Audit-Logs abstimmen

Cloud-Audit-Datenzugriffslogs können ein großes Logvolumen ohne großen Wert für die Bedrohungserkennung generieren. Wenn Sie diese Logs an Google Security Operations senden, sollten Sie Logs herausfiltern, die durch Routineaktivitäten generiert wurden.

Mit dem folgenden Exportfilter werden Datenzugriffslogs erfasst. Ereignisse mit hohem Volumen wie Lese- und Listenvorgänge von Cloud Storage und Cloud SQL werden dabei ausgeschlossen:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Weitere Informationen zum Abstimmen von Cloud-Audit-Datenzugriffslogs finden Sie hier.

Beispiele für Exportfilter

Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Arten von Logs in Ihr Google Security Operations-Konto exportieren oder ausschließen können.

Exportfilter – Beispiel 1: Zusätzliche Logtypen einschließen

Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Access Transparency-Logs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exportfilter – Beispiel 2: Zusätzliche Logs aus einem bestimmten Projekt einschließen

Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Projekt zusätzlich zu den Standardlogs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exportfilter – Beispiel 3: Zusätzliche Logs aus einem bestimmten Ordner einschließen

Mit dem folgenden Exportfilter werden Access Transparency-Logs aus einem bestimmten Ordner zusätzlich zu den Standardlogs exportiert:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Filterbeispiel 4: Logs aus einem bestimmten Projekt ausschließen

Mit dem folgenden Exportfilter werden die Standardlogs aus der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Google Cloud-Asset-Metadaten nach Google Security Operations exportieren

Sie können Ihre Asset-Metadaten von Google Cloud nach Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Google Cloud Asset Inventory und umfassen unter anderem folgende Informationen zu Ihren Assets, Ressourcen und Identitäten:

  • Umgebung
  • Standort
  • Zone
  • Hardwaremodelle
  • Zugriffskontrollbeziehungen zwischen Ressourcen und Identitäten

Im Folgenden sind die spezifischen Typen von Google Cloud Asset-Metadaten aufgeführt, die in Ihr Google Security Operations-Konto exportiert werden:

  • GCP_BIGQUERY_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_KUBERNETES_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_STORAGE_CONTEXT

Im Folgenden finden Sie einige Beispiele für Google Cloud-Asset-Metadaten:

  • Name der Anwendung: Google-iamSample/0.1
  • Projektname: projects/my-project

Beispiele für Kontextlogfelder von Resource Manager sind assetType, resource.data.name und resource.version.

Weitere Informationen zu Ressourcentypen finden Sie unter Von Cloud Asset Inventory unterstützte Ressourcentypen.

Wenn Sie Ihre Google Cloud-Asset-Metadaten nach Google Security Operations exportieren möchten, setzen Sie die Ein/Aus-Schaltfläche Cloud Asset Metadata auf „Aktiviert“.

Referenz für Feldzuordnung und unterstützte Ressourcentypen

In der folgenden Tabelle sind die von Google Security Operations unterstützten Kontextparser, das entsprechende Aufnahmelabel und die unterstützten Ressourcentypen aufgeführt.

Klicken Sie in der Tabelle auf den Namen des entsprechenden Kontextparsers, um die Referenzdokumentation für die Zuordnung des Kontextparsers aufzurufen.

Dienstname Aufnahmelabel Unterstützte Ressourcentypen
BigQuery GCP_BIGQUERY_CONTEXT
Resource Manager GCP_RESOURCE_MANAGER_CONTEXT
Cloud SQL GCP_SQL_CONTEXT
Cloud Functions GCP_CLOUD_FUNCTIONS_CONTEXT
Identity and Access Management GCP_IAM_CONTEXT
Network Connectivity Center GCP_NETWORK_CONNECTIVITY_CONTEXT
Google Kubernetes Engine GCP_KUBERNETES_CONTEXT
Compute Engine GCP_COMPUTE_CONTEXT

Security Command Center-Ergebnisse nach Google Security Operations exportieren

Sie können Ergebnisse von Security Command Center Premium Event Threat Detection (ETD) und alle anderen Ergebnisse in Google Security Operations exportieren.

Weitere Informationen zu den Ergebnissen von Event Threat Detection finden Sie in der Übersicht zu Security Command Center.

Wenn Sie die Ergebnisse der Security Command Center Premium-Stufe nach Google Security Operations exportieren möchten, aktivieren Sie die Ein/Aus-Schaltfläche Ergebnisse in Security Command Center Premium.

Schutz sensibler Daten nach Google Security Operations exportieren

So nehmen Sie Asset-Metadaten für den Schutz sensibler Daten (DLP_CONTEXT) auf:

  1. Aktivieren Sie die Google Cloud-Datenaufnahme, indem Sie den vorherigen Abschnitt in diesem Dokument abschließen.
  2. Konfigurieren Sie Sensitive Data Protection für Profildaten.
  3. Konfigurieren Sie die Scankonfiguration so, dass Datenprofile bei Google Security Operations veröffentlicht werden.

Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.

Google Cloud-Datenaufnahme deaktivieren

  1. Klicken Sie auf das Kästchen Ich möchte die Verbindung zu Google Security Operations trennen und das Senden von Google Cloud-Logs an Google Security Operations beenden.

  2. Klicken Sie auf Verbindung zu Google Security Operations trennen.

Fehlerbehebung

  • Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Google Security Operations-System fehlen, stellen Sie die Ein/Aus-Schaltfläche Cloud-Logs nach Google Security Operations exportieren auf "Aus" und aktivieren Sie sie dann wieder.
  • Die Asset-Metadaten werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis Änderungen in der Google Security Operations-Benutzeroberfläche und in den APIs sichtbar sind.

Nächste Schritte