Questa pagina è stata tradotta dall'API Cloud Translation.

Importa i dati di Google Cloud in Google Security Operations

Questa pagina mostra come abilitare e disabilitare l'importazione dei dati Google Cloud in Google Security Operations. Google Security Operations consente di archiviare, cercare ed esaminare le informazioni di sicurezza aggregate per la tua azienda disponibili per mesi o più in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati di Google Cloud a Google Security Operations. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare uno speciale filtro di Cloud Logging per inviare tipi di log specifici a Google Security Operations in tempo reale. Questi log vengono generati dai servizi Google Cloud.

Google Security Operations riceve i log anche se vengono esclusi a livello di progetto in Google Cloud, ma inclusi sia nel filtro di esportazione dei log sia nel logging di Google Cloud a livello di organizzazione. Per escludere i log da Google Security Operations, devi aggiornare il filtro di esportazione dei log di Google Security Operations in Google Cloud.

I tipi di log disponibili includono:

Audit log di Cloud
Cloud NAT
Cloud DNS
Firewall di nuova generazione Cloud
Sistema di rilevamento delle intrusioni nel cloud
Cloud Load Balancing
Cloud SQL
Log eventi di Windows
SysLog di Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Daemon di controllo (verificato)
Apigee
reCAPTCHA Enterprise
Log di Cloud Run (GCP_RUN)
Cloud Next Generation Firewall

Per raccogliere i log di Compute Engine o dell'applicazione (ad esempio Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, invia un ticket di assistenza a Google Security Operations per fornire feedback in modo da poter valutare le operazioni future per il supporto come tipo di log utilizzando l'opzione 1.

Per filtri di log specifici e ulteriori dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Google Security Operations.

Anche i metadati Google Cloud aggiuntivi da utilizzare come contesto a scopo di arricchimento possono essere inviati a Google Security Operations. Per ulteriori dettagli, consulta Esportazione dei metadati degli asset Google Cloud in Google Security Operations.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage in modo che vengano recuperati da Google Security Operations su base pianificata.

Per maggiori dettagli su come configurare Cloud Storage per Google Security Operations, consulta Gestione del feed: Cloud Storage.

Prima di iniziare

Prima di poter importare i dati di Google Cloud nella tua istanza Google Security Operations, devi completare i seguenti passaggi:

Contatta il tuo rappresentante Google Security Operations e ottieni il codice di accesso una tantum necessario per importare i dati di Google Cloud.
Concedi i seguenti ruoli IAM necessari per accedere alla sezione Google Security Operations:
- Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
- Visualizzatore servizio Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato di importazione.
- Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor): obbligatorio per abilitare l'importazione dei metadati di Cloud Asset.
Se prevedi di abilitare Metadati di asset cloud, devi abilitare anche il servizio Google Cloud del livello Standard di Security Command Center o del livello Premium di Security Command Center. Per ulteriori informazioni, consulta Attivare Security Command Center per un'organizzazione.

Concedi ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.
Dalla schermata IAM, seleziona l'utente e fai clic su Modifica membro.

Nota: se non ti trovi nella visualizzazione Organizzazione di IAM, il pulsante Modifica membro è disabilitato e devi accedere alla schermata IAM dell'organizzazione.
Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google Security Operations per trovare i ruoli IAM.
Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa questi passaggi:

Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.
Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui questo comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID numerico dell'organizzazione.
- USER_EMAIL: indirizzo email dell'amministratore.

Per concedere il ruolo IAM Visualizzatore Google Security Operations Service utilizzando gcloud, esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Per concedere il ruolo Editor amministratore Centro sicurezza utilizzando gcloud, esegui questo comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Abilita l'importazione dati Google Cloud

I dati di Google Cloud vengono importati utilizzando un'API interna privata tra Security Command Center e Google Security Operations. L'importazione non raggiunge mai la rete esterna e non utilizza mai indirizzi IP. Google accede ai log di Google Cloud direttamente in base all'autenticazione eseguita utilizzando il codice monouso fornito da Google Security Operations per Security Command Center.

Per abilitare l'importazione dati dalla tua organizzazione Google Cloud nella tua istanza Google Security Operations, completa questi passaggi:

Vai alla pagina Google Security Operations per la console Google Cloud.
Vai alla pagina Google Security Operations
Inserisci il tuo codice di accesso monouso nel campo Codice di accesso monouso di Google Security Operations.
Per acconsentire all'utilizzo di Google Security Operations, seleziona la casella Acconsento ai termini e alle condizioni dell'utilizzo dei miei dati Google Cloud da parte di Chronicle.
Fai clic su Connect Google Security Operations.

I tuoi dati di Google Cloud verranno inviati a Google Security Operations. Puoi utilizzare le funzionalità di analisi di Google Security Operations per esaminare eventuali problemi relativi alla sicurezza. Le sezioni che seguono descrivono i modi per modificare i tipi di dati di Google Cloud che verranno inviati a Google Security Operations

Esporta i log di Google Cloud in Google Security Operations

Puoi esportare i seguenti tipi di dati di Google Cloud nella tua istanza Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/system_event") (esportato in base al filtro predefinito)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
CONTROLLO:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Modifica l'espressione regolare del filtro di log in base alle esigenze.
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare i log di Google Cloud in Google Security Operations, imposta l'opzione Log di Google Cloud su abilitata. Tutti i tipi di log di Google Cloud elencati in precedenza verranno esportati nella tua istanza Google Security Operations.

Per le best practice sui filtri di log da utilizzare, vedi Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed eventi di sistema) e i log di Cloud DNS vengono inviati al tuo account Google Security Operations. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query di Google Logging.

Per definire un filtro personalizzato per i log:

Definisci il filtro creando un filtro personalizzato per i log utilizzando il linguaggio di query di logging. La seguente documentazione descrive come definire questo tipo di filtro: /logging/docs/view/logging-query-language
Vai a Esplora log utilizzando il link fornito nella scheda Esporta impostazioni filtro, copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google Security Operations.

Completa i seguenti passaggi dalla scheda Esporta impostazioni filtro:

Quando il filtro è pronto, fai clic sull'icona di modifica e incolla il filtro nel campo Esporta filtro.
Fai clic su Salva filtro personalizzato. Il nuovo filtro personalizzato funziona per tutti i nuovi log esportati nel tuo account Google Security Operations.
Puoi reimpostare la versione predefinita del filtro di esportazione facendo clic su Ripristina impostazioni predefinite. Assicurati di salvare prima una copia del filtro personalizzato.

Ottimizza i filtri di Cloud Audit log

I log di Cloud Audit Data Access possono produrre un grande volume di log senza un grande valore di rilevamento delle minacce. Se scegli di inviare questi log a Google Security Operations, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi a volumi elevati, come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per ulteriori informazioni sull'ottimizzazione dei log di accesso ai dati di Cloud Audit, vedi qui.

Esempi di filtri per l'esportazione

I seguenti esempi di filtri di esportazione mostrano come includere o escludere determinati tipi di log dall'esportazione nel tuo account Google Security Operations.

Esempio di filtro di esportazione 1: includere tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione 2: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esporta filtro - Esempio 3: includi log aggiuntivi di una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione 4: escludere i log da un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera organizzazione Google Cloud, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esporta i metadati degli asset Google Cloud in Google Security Operations

Puoi esportare i metadati degli asset Google Cloud in Google Security Operations. Questi metadati degli asset vengono estratti dal tuo inventario di asset Google Cloud e sono costituiti da informazioni su asset, risorse e identità, tra cui:

Ambiente
Località
Zona
Modelli hardware
Relazioni di controllo dell'accesso tra risorse e identità

Di seguito sono riportati i tipi specifici di metadati degli asset Google Cloud che verranno esportati nel tuo account Google Security Operations:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Di seguito sono riportati alcuni esempi di metadati di asset Google Cloud:

Nome applicazione: Google-iamSample/0.1
Nome progetto: projects/my-project

Esempi di campi del log contestuale di Resource Manager includono assetType, resource.data.name e resource.version.

Per ulteriori informazioni sui tipi di risorse, consulta Tipi di risorse supportati da Cloud Asset Inventory.

Per esportare i metadati degli asset Google Cloud in Google Security Operations, imposta l'opzione Metadati degli asset cloud su Attivato.

Riferimento per la mappatura dei campi e tipi di risorse supportati

La seguente tabella elenca i parser di contesto supportati da Google Security Operations, l'etichetta di importazione corrispondente e i tipi di risorse supportati.

Per visualizzare la documentazione di riferimento alla mappatura del parser di contesto, fai clic sul nome del parser di contesto corrispondente nella tabella.

Nome servizio	Etichetta di importazione	Tipi di risorse supportati
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Esporta i risultati di Security Command Center in Google Security Operations

Puoi esportare i risultati di Event Threat Detection (ETD) di Security Command Center Premium e tutti gli altri risultati in Google Security Operations.

Per saperne di più sui risultati di Event Threat Detection, consulta la panoramica di Security Command Center.

Per esportare i risultati del livello Premium di Security Command Center in Google Security Operations, imposta l'opzione Risultati di Security Command Center Premium su abilitata.

Esporta i dati di Sensitive Data Protection in Google Security Operations

Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT), esegui quanto segue:

Abilita l'importazione dati Google Cloud completando la sezione precedente di questo documento.
Configura Sensitive Data Protection per profilare i dati.
Configura la configurazione della scansione in modo da pubblicare profili di dati in Google Security Operations.

Per informazioni dettagliate sulla creazione di profili di dati per BigQuery, consulta la documentazione di Sensitive Data Protection.

Disabilita l'importazione dati Google Cloud

Seleziona la casella Voglio disconnettere Google Security Operations e smettere di inviare i log di Google Cloud a Google Security Operations.
Fai clic su Disconnetti Google Security Operations.

Risoluzione dei problemi

Se nel sistema Google Security Operations mancano le relazioni tra risorse e identità, imposta l'opzione Esporta i log di Cloud in Google Security Operations su disabilitata e poi riattivala.
I metadati delle risorse vengono importati periodicamente in Google Security Operations. Aspetta diverse ore prima che le modifiche siano visibili nell'interfaccia utente e nelle API di Google Security Operations.

Passaggi successivi

Apri il tuo account Google Security Operations utilizzando l'URL specifico per il cliente fornito dal tuo rappresentante Google Security Operations.
Scopri di più su Google Security Operations.