Halaman ini diterjemahkan oleh Cloud Translation API.

Mengambil data Google Cloud ke Google Security Operations

Didukung di:

Google SecOps SIEM

Halaman ini menunjukkan cara mengaktifkan dan menonaktifkan penyerapan data Google Cloud Anda ke Google SecOps. Google SecOps memungkinkan Anda menyimpan, menelusuri, dan memeriksa informasi keamanan gabungan untuk perusahaan Anda yang berlangsung selama berbulan-bulan atau lebih lama sesuai dengan periode retensi data Anda.

Ringkasan

Ada dua opsi untuk mengirim Google Cloud data ke Google SecOps. Memilih opsi yang tepat bergantung pada jenis log.

Opsi 1: Proses transfer langsung

Filter Cloud Logging khusus dapat dikonfigurasi di Google Cloud untuk mengirim jenis log tertentu ke Google SecOps secara real time. Log ini dibuat oleh layanan Google Cloud .

Google Security Operations hanya menyerap jenis log yang didukung. Jenis log yang tersedia meliputi:

Cloud Audit Logs
Cloud NAT
Cloud DNS
Cloud Next Generation Firewall
Cloud Intrusion Detection System
Cloud Load Balancing
Cloud SQL
Log aktivitas Windows
Syslog Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Audit Daemon (auditd)
Apigee
reCAPTCHA Enterprise
Log Cloud Run (GCP_RUN)

Untuk mengetahui detail tentang filter log tertentu dan detail penyerapan lainnya, lihat Mengekspor Google Cloud Log ke Google SecOps.

Anda juga dapat mengirim Google Cloud metadata aset yang digunakan untuk pengayaan konteks. Untuk mengetahui detailnya, lihat Mengekspor metadata aset Google Cloud ke Google SecOps.

Opsi 2: Google Cloud Penyimpanan

Cloud Logging dapat merutekan log ke Cloud Storage untuk diambil oleh Google SecOps secara terjadwal.

Untuk mengetahui detail tentang cara mengonfigurasi Cloud Storage untuk Google SecOps, lihat Pengelolaan Feed: Cloud Storage.

Sebelum memulai

Sebelum dapat menyerap data Google Cloud ke dalam instance Google SecOps, Anda harus menyelesaikan langkah-langkah berikut:

Berikan peran IAM berikut yang diperlukan agar Anda dapat mengakses bagian Google SecOps:
- Chronicle Service Admin (roles/chroniclesm.admin): Peran IAM untuk melakukan semua aktivitas.
- Chronicle Service Viewer (roles/chroniclesm.viewer): Peran IAM untuk hanya melihat status penyerapan.
- Security Center Admin Editor (roles/securitycenter.adminEditor): Diperlukan untuk mengaktifkan penyerapan Metadata Aset Cloud.
Jika berencana mengaktifkan Metadata Aset Cloud, Anda harus melakukan aktivasi organisasi ke Security Command Center. Lihat Ringkasan aktivasi tingkat organisasi untuk mengetahui informasi selengkapnya.

Memberikan Peran IAM

Anda dapat memberikan peran IAM yang diperlukan menggunakan konsol Google Cloud atau menggunakan gcloud CLI.

Untuk memberikan peran IAM menggunakan konsol Google Cloud, selesaikan langkah-langkah berikut:

Login ke Google Cloud organisasi yang ingin Anda hubungkan dan buka layar IAM menggunakan Products > IAM & Admin > IAM.
Dari layar IAM, pilih pengguna, lalu klik Edit Anggota.

Catatan: Jika Anda tidak berada di tampilan Organisasi IAM, tombol Edit Anggota akan dinonaktifkan dan Anda harus membuka layar IAM organisasi.
Di layar Edit Izin, klik Tambahkan Peran Lain dan telusuri Google SecOps untuk menemukan peran IAM.
Setelah menetapkan peran, klik Simpan.

Untuk memberikan peran IAM menggunakan Google Cloud CLI, selesaikan langkah-langkah berikut:

Pastikan Anda login ke organisasi yang benar. Verifikasi hal ini dengan menjalankan perintah gcloud init.
Untuk memberikan peran IAM Chronicle Service Admin menggunakan gcloud, jalankan perintah berikut:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Ganti kode berikut:
- ORGANIZATION_ID: ID organisasi numerik.
- USER_EMAIL: alamat email pengguna.

Untuk memberikan peran IAM Chronicle Service Viewer menggunakan gcloud, jalankan perintah berikut:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Untuk memberikan peran Editor Admin Pusat Keamanan menggunakan gcloud, jalankan perintah berikut:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Mengaktifkan penyerapan langsung dari Google Cloud

Langkah-langkah untuk mengaktifkan penyerapan langsung dari Google Cloud berbeda-beda, bergantung pada kepemilikan project yang menjadi tempat instance Google SecOps Anda terikat.

Jika terikat dengan project yang Anda miliki dan kelola, ikuti langkah-langkah di artikel Mengonfigurasi proses transfer saat project dimiliki oleh pelanggan. Pendekatan ini memungkinkan Anda mengonfigurasi penyerapan data dari lebih dari satu Google Cloud organisasi.
Jika terikat dengan project yang Google Cloud dimiliki dan dikelola, ikuti langkah-langkah di Mengonfigurasi proses transfer saat project dimiliki oleh Google Cloud.

Setelah Anda mengonfigurasi penyerapan langsung, Google Cloud data Anda akan dikirim ke Google SecOps. Anda dapat menggunakan fitur analisis Google SecOps untuk menyelidiki masalah terkait keamanan.

Mengonfigurasi proses transfer data saat project dimiliki oleh pelanggan

Lakukan langkah-langkah berikut jika Anda memiliki project Google Cloud .

Anda dapat mengonfigurasi penyerapan langsung dari beberapa organisasi menggunakan halaman konfigurasi tingkat project yang sama. Lakukan langkah-langkah berikut untuk membuat konfigurasi baru dan mengedit konfigurasi yang ada.

Saat Anda memigrasikan instance Google SecOps yang ada agar terikat dengan project yang Anda miliki, dan jika penyerapan langsung dikonfigurasi sebelum migrasi, konfigurasi penyerapan langsung juga akan dimigrasikan.

Buka halaman Google SecOps > Ingestion Settings di konsol Google Cloud.
Buka halaman Google SecOps
Pilih project yang terikat dengan instance Google SecOps Anda.
Di menu Organization, pilih organisasi tempat log akan diekspor. Menu ini menampilkan organisasi yang izin aksesnya Anda miliki. Daftar ini dapat mencakup organisasi yang tidak ditautkan ke instance Google SecOps. Anda tidak dapat mengonfigurasi organisasi yang mengirim data ke instance Google SecOps yang berbeda.
Di bagian Setelan Google Cloud Ingestion, klik tombol Sending data to Google Security Operations untuk mengaktifkan log yang akan dikirim ke Google SecOps.
Pilih satu atau beberapa opsi berikut untuk menentukan jenis data yang dikirim ke Google SecOps:
- Google Cloud Logging: Untuk informasi selengkapnya tentang opsi ini, lihat Mengekspor Google Cloud log.
- Metadata Aset Cloud: Untuk mengetahui informasi selengkapnya tentang opsi ini, lihat Mengekspor Google Cloud metadata aset.
- Temuan Security Center Premium: Untuk informasi selengkapnya tentang opsi ini, lihat Mengekspor temuan Security Center Premium.
Di bagian Setelan filter ekspor pelanggan, tentukan filter ekspor yang menyesuaikan data Cloud Logging yang diekspor ke Google SecOps. Lihat Mengekspor Google Cloud log untuk mengetahui jenis data log yang Anda ekspor.
Untuk menyerap log dari organisasi tambahan ke instance Google SecOps yang sama, pilih organisasi dari menu Organization, lalu ulangi langkah-langkah untuk menentukan jenis data yang akan diekspor dan filter ekspor. Anda akan melihat beberapa organisasi tercantum di menu Organization.
Untuk mengekspor Google Cloud data Cloud Data Loss Prevention ke Google SecOps, lihat Mengekspor Google Cloud data Cloud Data Loss Prevention ke Google SecOps.

Mengonfigurasi proses transfer saat project dimiliki oleh Google Cloud

Jika Google Cloud memiliki project, lakukan hal berikut untuk mengonfigurasi penyerapan langsung dari organisasi Google Cloud Anda ke instance Google SecOps:

Buka tab Google SecOps > Ringkasan > Penyerapan di konsol Google Cloud. Buka tab Proses Transfer Google SecOps
Klik tombol Kelola setelan penyerapan organisasi.
Jika Anda melihat pesan Halaman tidak dapat dilihat untuk project., pilih organisasi, lalu klik Select.
Masukkan kode akses satu kali di kolom Kode akses Google SecOps 1 kali.
Centang kotak berlabel Saya menyetujui persyaratan dan ketentuan penggunaan Google Cloud data saya oleh Google SecOps.
Klik Hubungkan Google SecOps.
Buka tab Setelan Proses Transfer Global untuk organisasi.
Pilih jenis data yang akan dikirim dengan mengaktifkan satu atau beberapa opsi berikut:
- Google Cloud Logging: Untuk informasi selengkapnya tentang opsi ini, lihat Mengekspor Google Cloud Log.
- Metadata Aset Cloud Untuk informasi selengkapnya tentang opsi ini, lihat Mengekspor Google Cloud metadata aset.
- Temuan Security Center Premium: Untuk informasi selengkapnya tentang opsi ini, lihat Mengekspor temuan Security Center Premium.
Buka tab Export Filter Settings.
Di bagian Setelan filter ekspor pelanggan, tentukan filter ekspor yang menyesuaikan data Cloud Logging yang diekspor ke Google SecOps. Lihat Mengekspor Google Cloud log untuk mengetahui jenis data log yang Anda ekspor.
Untuk mengekspor Google Cloud data Cloud Data Loss Prevention ke Google SecOps, lihat Mengekspor Google Cloud data Cloud Data Loss Prevention ke Google SecOps.

Mengekspor log Google Cloud

Setelah mengaktifkan Cloud Logging, Anda dapat mengekspor jenis dataGoogle Cloud berikut ke instance Google SecOps, yang tercantum berdasarkan jenis log dan label penyerapan Google SecOps:

Cloud Audit Logs(GCP_CLOUDAUDIT): ini mencakup log Aktivitas Admin, Peristiwa Sistem, Transparansi Akses, dan Kebijakan Ditolak.
- log_id("cloudaudit.googleapis.com/activity") (diekspor oleh filter default)
- log_id("cloudaudit.googleapis.com/system_event") (diekspor oleh filter default)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
Log Cloud NAT(GCP_CLOUD_NAT):
- log_id("compute.googleapis.com/nat_flows")
Log Cloud DNS (GCP_DNS):
- log_id("dns.googleapis.com/dns_queries") (diekspor oleh filter default)
Log Cloud Next Generation Firewall(GCP_FIREWALL):
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests") Hal ini mencakup log dari Google Cloud Armor dan Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee.googleapis.com/ingress_instance")
- log_id("apigee.googleapis.com")
- log_id("apigee-logs")
- log_id("apigee")
- logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Untuk mengekspor log Google Cloud ke Google SecOps, setel tombol Aktifkan log Cloud ke Aktif. Jenis log Google Cloud yang didukung dapat diekspor ke instance Google SecOps Anda.

Untuk praktik terbaik tentang filter log yang akan digunakan, lihat Analisis log keamanan di Google Cloud.

Mengekspor setelan filter

Bagian berikut memberikan informasi tentang filter ekspor.

Setelan filter ekspor kustom

Secara default, Log Audit Cloud (Aktivitas Admin dan Peristiwa Sistem) dan log Cloud DNS Anda dikirim ke instance Google SecOps. Namun, Anda dapat menyesuaikan filter ekspor untuk menyertakan atau mengecualikan jenis log tertentu. Filter ekspor didasarkan pada bahasa kueri logging Google.

Untuk menentukan filter kustom untuk log Anda, selesaikan langkah-langkah berikut:

Tentukan filter dengan membuat filter kustom untuk log menggunakan bahasa kueri logging. Lihat Bahasa kueri logging untuk mengetahui informasi tentang cara menentukan jenis filter ini.
Buka halaman Google SecOps di konsol Google Cloud dan pilih project.
Buka halaman Google SecOps
Luncurkan Logs Explorer menggunakan link yang disediakan di tab Setelan Filter Ekspor.
Salin kueri baru Anda ke kolom Query, lalu klik Run Query untuk mengujinya.
Salin kueri baru Anda ke kolom Logs Explorer > Query, lalu klik Run Query untuk mengujinya.
Pastikan log yang cocok yang ditampilkan di Logs Explorer sama persis dengan log yang ingin Anda ekspor ke Google SecOps. Setelah filter siap, salin ke bagian Setelan filter ekspor kustom untuk Google SecOps.
Kembali ke bagian Setelan filter ekspor kustom di halaman Google SecOps.

Bagian setelan filter ekspor kustom
Klik ikon edit untuk kolom Filter ekspor, lalu tempel filter ke kolom tersebut.
Klik tombol Simpan. Filter kustom baru Anda berfungsi untuk semua log baru yang diekspor ke instance Google SecOps Anda.
Anda dapat mereset filter ekspor ke versi default dengan mengklik Reset ke Default. Pastikan untuk menyimpan salinan filter kustom terlebih dahulu.

Menyesuaikan filter Cloud Audit Logs

Log Akses Data yang ditulis oleh Cloud Audit Logs dapat menghasilkan volume data yang besar tanpa banyak nilai deteksi ancaman. Jika memilih untuk mengirim log ini ke Google SecOps, Anda harus memfilter log yang dihasilkan oleh aktivitas rutin.

Filter ekspor berikut merekam log akses data dan mengecualikan peristiwa bervolume tinggi seperti operasi Baca dan Cantumkan dari Cloud Storage dan Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Untuk informasi selengkapnya tentang cara menyesuaikan log Akses Data yang dihasilkan oleh Log Audit Cloud, lihat Mengelola volume log audit Akses Data.

Contoh Filter Ekspor

Contoh filter ekspor berikut menggambarkan cara menyertakan atau mengecualikan jenis log tertentu agar tidak diekspor ke instance Google SecOps Anda.

Contoh Filter Ekspor: Menyertakan jenis log tambahan

Filter ekspor berikut mengekspor log transparansi akses selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Contoh Filter Ekspor: Menyertakan log tambahan dari project tertentu

Filter ekspor berikut mengekspor log transparansi akses dari project tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Menyertakan log tambahan dari folder tertentu

Filter ekspor berikut mengekspor log transparansi akses dari folder tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Mengecualikan log dari project tertentu

Filter ekspor berikut mengekspor log default dari seluruh Google Cloud organisasi, kecuali project tertentu:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Mengekspor Google Cloud metadata aset

Anda dapat mengekspor Google Cloud metadata aset dari Inventaris Aset Cloud ke Google SecOps. Metadata aset ini diambil dari Inventaris Aset Cloud Anda dan terdiri dari informasi tentang aset, resource, dan identitas Anda, termasuk hal berikut:

Lingkungan
Lokasi
Zona
Model hardware
Hubungan kontrol akses antara resource dan identitas

Jenis Google Cloud metadata aset berikut akan diekspor ke instance Google SecOps Anda:

GCP_BIGQUERY_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_STORAGE_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_SQL_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT

Berikut adalah contoh Google Cloud metadata aset:

Nama aplikasi—Google-iamSample/0.1
Nama project—projects/my-project

Untuk mengekspor Google Cloud metadata aset ke Google SecOps, setel tombol Metadata Aset Cloud ke Diaktifkan.

Aktifkan Metadata Aset Cloud.

Untuk mengetahui informasi selengkapnya tentang parser konteks, lihat Parser konteks Google SecOps.

Mengekspor temuan Security Command Center

Anda dapat mengekspor temuan Deteksi Ancaman Peristiwa Security Command Center Premium dan semua temuan lainnya ke Google SecOps.

Untuk informasi selengkapnya tentang temuan ETD, lihat Ringkasan Event Threat Detection.

Untuk mengekspor temuan Security Command Center Premium ke Google SecOps, setel tombol Temuan Security Command Center Premium ke Diaktifkan.

Mengekspor data Perlindungan Data Sensitif ke Google SecOps

Untuk menyerap metadata aset Perlindungan Data Sensitif (DLP_CONTEXT), lakukan tindakan berikut:

Aktifkan Google Cloud penyerapan data dengan menyelesaikan bagian sebelumnya dalam dokumen ini.
Konfigurasikan Perlindungan Data Sensitif untuk membuat profil data.
Konfigurasikan konfigurasi pemindaian untuk memublikasikan profil data ke Google SecOps.

Lihat dokumentasi Perlindungan Data Sensitif untuk mengetahui informasi mendetail tentang cara membuat profil data untuk data BigQuery.

Menonaktifkan Google Cloud penyerapan data

Langkah-langkah untuk menonaktifkan penyerapan data langsung dari Google Cloud berbeda-beda, bergantung pada cara Google SecOps dikonfigurasi. Pilih salah satu opsi berikut:

Jika instance Google SecOps Anda terikat dengan project yang Anda miliki dan kelola, lakukan langkah-langkah berikut:
1. Pilih project yang terikat dengan instance Google SecOps Anda.
2. Di konsol Google Cloud, buka tab Ingestion di bagian Google SecOps.
  Buka halaman Google SecOps
3. Di menu Organization, pilih organisasi tempat log diekspor.
4. Setel tombol Mengirim data ke Google Security Operations ke Nonaktif.
5. Jika Anda mengonfigurasi ekspor data dari beberapa Organisasi, dan Anda juga ingin menonaktifkannya, lakukan langkah-langkah ini untuk setiap organisasi.
Jika instance Google SecOps Anda terikat dengan project yang dimiliki dan dikelola oleh Google Cloud , lakukan langkah-langkah berikut:

Catatan: Setelah menyelesaikan langkah-langkah ini, Anda harus mendapatkan kode akses satu kali baru dari perwakilan Google SecOps dan menyelesaikan prosedur untuk mengaktifkan penyerapan langsung dari Google Cloud untuk memulai ulang Google Cloud penyerapan log.
1. Buka halaman Google SecOps > Ingestion di konsol Google Cloud.
  Buka halaman Google SecOps
2. Di menu resource, pilih organisasi yang terikat dengan instance Google SecOps Anda dan tempat Anda menyerap data.
3. Centang kotak berlabel Saya ingin memutuskan hubungan Google SecOps dan berhenti mengirim Google Cloud Log ke Google SecOps.
4. Klik Putuskan sambungan Google SecOps.

Mengontrol kecepatan penyerapan

Jika rasio penyerapan data untuk tenant mencapai nilai minimum tertentu, Operasi Keamanan Google akan membatasi rasio penyerapan untuk feed data baru guna mencegah sumber dengan rasio penyerapan tinggi memengaruhi rasio penyerapan sumber data lain. Dalam hal ini, ada penundaan, tetapi tidak ada data yang hilang. Volume penyerapan dan histori penggunaan tenant menentukan nilai minimum.

Anda dapat meminta peningkatan batas kapasitas dengan menghubungi Cloud Customer Care.

Pemecahan masalah

Jika hubungan antara resource dan identitas tidak ada di instance Google SecOps, nonaktifkan, lalu aktifkan kembali penyerapan data log langsung ke Google SecOps.
Google Cloud Metadata aset diserap secara berkala ke Google SecOps. Tunggu beberapa jam agar perubahan terlihat di UI dan API Google SecOps.

Langkah selanjutnya

Buka instance Google SecOps menggunakan URL khusus pelanggan yang diberikan oleh perwakilan Google SecOps Anda.
Pelajari Google SecOps lebih lanjut.