Google Cloud-Daten in Chronicle aufnehmen
Auf dieser Seite wird beschrieben, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Chronicle aktivieren und deaktivieren. Mit Chronicle können Sie die aggregierten Sicherheitsinformationen Ihres Unternehmens je nach Datenaufbewahrungsdauer für mehrere Monate oder länger speichern, durchsuchen und prüfen.
Überblick
Es gibt zwei Möglichkeiten, Google Cloud-Daten an Chronicle zu senden. Die Wahl der richtigen Option hängt vom Logtyp ab.
Option 1: Direkte Datenaufnahme
In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Chronicle zu senden. Diese Logs werden von Google Cloud-Diensten generiert.
Chronicle empfängt Logs, auch wenn sie in Google Cloud auf Projektebene ausgeschlossen wurden, aber sowohl im Logexportfilter als auch im Google Cloud-Logging auf Organisationsebene enthalten sind. Wenn Sie Logs von Chronicle ausschließen möchten, müssen Sie den Log-Exportfilter für Chronicle in Google Cloud aktualisieren.
Verfügbare Logtypen:
- Cloud-Audit-Logs
- Cloud NAT
- Cloud DNS
- Cloud Next-Generation-Firewall
- Cloud Intrusion Detection System
- Cloud Load Balancing
- Cloud SQL
- Windows-Ereignisprotokolle
- Linux-Syslog
- Linux Sysmon
- Zeek
- Google Kubernetes Engine
- Audit-Daemon (geprüft)
- Apigee
- reCAPTCHA Enterprise
- Cloud Run-Logs (
GCP_RUN
) - Firewall der nächsten Generation
Verwenden Sie Option 2, um Anwendungslogs für Compute Engine oder Google Kubernetes Engine (GKE) (z. B. Apache, Nginx oder IIS) zu erfassen. Erstellen Sie außerdem ein Support-Ticket mit Chronicle, um Feedback für zukünftige Unterstützung als Logtyp über Option 1 zu geben.
Spezielle Logfilter und weitere Details zur Aufnahme finden Sie unter Google Cloud-Logs nach Chronicle exportieren.
Außerdem können zusätzliche Google Cloud-Metadaten als Kontext für Anreicherungszwecken an Chronicle gesendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Chronicle exportieren.
Option 2: Google Cloud Storage
Cloud Logging kann Logs an Cloud Storage weiterleiten, damit sie von Chronicle geplant abgerufen werden.
Weitere Informationen zum Konfigurieren von Cloud Storage für Chronicle finden Sie unter Feedverwaltung: Cloud Storage.
Hinweise
Bevor Sie Ihre Google Cloud-Daten in Ihre Chronicle-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:
Wenden Sie sich an Ihren Chronicle-Ansprechpartner und erhalten Sie den einmaligen Zugriffscode, den Sie zum Aufnehmen Ihrer Google Cloud-Daten benötigen.
Weisen Sie die folgenden IAM-Rollen zu, die für den Zugriff auf den Abschnitt „Chronicle“ erforderlich sind:
- Chronicle Service Admin (
roles/chroniclesm.admin
): IAM-Rolle zum Ausführen aller Aktivitäten - Chronicle Service Viewer (
roles/chroniclesm.viewer
): IAM-Rolle zum Ansehen des Aufnahmestatus. - Sicherheitscenter-Admin-Bearbeiter (
roles/securitycenter.adminEditor
): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.
- Chronicle Service Admin (
Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie auch den Google Cloud-Dienst der Standard-Stufe von Security Command Center oder der Premium-Stufe von Security Command Center aktivieren. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.
IAM-Rollen zuweisen
Sie können die erforderlichen IAM-Rollen über die Google Cloud Console oder die gcloud CLI gewähren.
Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:
- Melden Sie sich bei der Google Cloud-Organisation an, zu der Sie eine Verbindung herstellen möchten, und rufen Sie den IAM-Bildschirm über Produkte > IAM und Verwaltung > IAM auf.
Wählen Sie im IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.
Klicken Sie im Bildschirm "Berechtigungen bearbeiten" auf Weitere Rolle hinzufügen und suchen Sie nach Chronicle, um die IAM-Rollen zu finden.
Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.
Führen Sie die folgenden Schritte aus, um IAM-Rollen über die Google Cloud CLI zuzuweisen:
Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl
gcloud init
.Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Admin“ mit
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.admin
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: die numerische Organisations-IDUSER_EMAIL
ist die E-Mail-Adresse des Administrators.
Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Viewer“ mithilfe von
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.viewer
Führen Sie den folgenden Befehl aus, um die Rolle „Sicherheitscenter-Administratorbearbeiter“ mit
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/securitycenter.adminEditor`
Google Cloud-Datenaufnahme aktivieren
Google Cloud-Daten werden mit einer privaten internen API zwischen Security Command Center und Chronicle aufgenommen. Die Aufnahme erreicht niemals das externe Netzwerk und verwendet niemals IP-Adressen. Google greift direkt auf die Google Cloud-Logs zu, basierend auf der Authentifizierung mit dem Einmalcode, der von Chronicle für Security Command Center bereitgestellt wird.
Führen Sie die folgenden Schritte aus, um die Datenaufnahme von Ihrer Google Cloud-Organisation in Ihre Chronicle-Instanz zu aktivieren:
Rufen Sie die Chronicle-Seite für die Google Cloud Console auf.
Zur Seite „Crononicle”Geben Sie Ihren einmaligen Zugriffscode in das Feld 1-time Chronicle-Zugriffscode ein.
Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen zur Nutzung meiner Google Cloud-Daten durch Chronicle zu.
Klicken Sie auf Connect Chronicle.
Ihre Google Cloud-Daten werden jetzt an Chronicle gesendet. Sie können die Analysefunktionen von Chronicle verwenden, um sicherheitsrelevante Probleme zu untersuchen. In den folgenden Abschnitten werden Möglichkeiten zum Anpassen der Typen von Google Cloud-Daten beschrieben, die an Chronicle gesendet werden
Google Cloud-Logs nach Chronicle exportieren
Sie können die folgenden Arten von Google Cloud-Daten in Ihre Chronicle-Instanz exportieren:
- GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (vom Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/system_event") (vom Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
- GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
- GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (vom Standardfilter exportiert)
- GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
- GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
- GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Dazu gehören Logs von Google Cloud Armor und Cloud Load Balancing
- GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
- NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
- LINUX_SYSMON:
- log_id("sysmon.raw")
- WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
- BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
- KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
- PRÜFUNG:
- log_id("audit_log")
- GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Passen Sie den regulären Ausdruck des Logfilters nach Bedarf an
- GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
- GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
- GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")
Stellen Sie die Ein/Aus-Schaltfläche für Google Cloud-Logs auf „Aktiviert“, um Ihre Google Cloud-Logs nach Chronicle zu exportieren. Alle oben aufgeführten Google Cloud-Logtypen werden in Ihre Chronicle-Instanz exportiert.
Best Practices für die Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.
Filtereinstellungen exportieren
Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivitäten und Systemereignisse) sowie Cloud DNS-Logs an Ihr Chronicle-Konto gesendet. Sie können den Exportfilter jedoch so anpassen, dass bestimmte Arten von Logs ein- oder ausgeschlossen werden. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.
So definieren Sie einen benutzerdefinierten Filter für Ihre Logs:
Definieren Sie den Filter, indem Sie in der Logging-Abfragesprache einen benutzerdefinierten Filter für Ihre Logs erstellen. In der folgenden Dokumentation wird beschrieben, wie Sie diesen Filtertyp definieren: /logging/docs/view/logging-query-language
Navigieren Sie über den Link auf dem Tab Exportfiltereinstellungen zum Log-Explorer, kopieren Sie Ihre neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.
Prüfen Sie, ob die im Log-Explorer angezeigten übereinstimmenden Logs genau mit den Logs übereinstimmen, die Sie nach Chronicle exportieren möchten.
Führen Sie auf dem Tab Exportfiltereinstellungen die folgenden Schritte aus:
Wenn der Filter fertig ist, klicken Sie auf das Symbol „Bearbeiten“ und fügen Sie den Filter in das Feld Filter exportieren ein.
Klicken Sie auf Benutzerdefinierten Filter speichern. Der neue benutzerdefinierte Filter funktioniert mit allen neuen Logs, die in Ihr Chronicle-Konto exportiert wurden.
Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie des benutzerdefinierten Filters.
Cloud-Audit-Logfilter abstimmen
Cloud-Audit-Datenzugriffslogs können große Logvolumen ohne großen Wert zur Bedrohungserkennung erzeugen. Wenn Sie diese Logs an Chronicle senden, sollten Sie Logs herausfiltern, die durch Routineaktivitäten generiert werden.
Mit dem folgenden Exportfilter werden Datenzugriffslogs erfasst und Ereignisse mit hohem Volumen wie Lese- und Listenvorgänge von Cloud Storage und Cloud SQL ausgeschlossen:
( `log_id("cloudaudit.googleapis.com/data_access")`
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Weitere Informationen zur Abstimmung von Cloud-Audit-Datenzugriffslogs finden Sie hier.
Beispiele für Exportfilter
Die folgenden Exportfilterbeispiele veranschaulichen, wie Sie bestimmte Arten von Logs für den Export in Ihr Chronicle-Konto ein- oder ausschließen können.
Exportfilter Beispiel 1: Zusätzliche Logtypen einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Access Transparency-Logs exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Exportfilter – Beispiel 2: Zusätzliche Logs aus einem bestimmten Projekt einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Zugriffstransparenzlogs aus einem bestimmten Projekt exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Exportfilter Beispiel 3: Zusätzliche Protokolle aus einem bestimmten Ordner einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Logs für die Zugriffstransparenz aus einem bestimmten Ordner exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Exportfilter Beispiel 4: Logs aus einem bestimmten Projekt ausschließen
Mit dem folgenden Exportfilter werden die Standardlogs der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Google Cloud-Asset-Metadaten nach Chronicle exportieren
Sie können Ihre Google Cloud-Asset-Metadaten nach Chronicle exportieren. Diese Asset-Metadaten stammen aus Ihrem Google Cloud Asset Inventory und bestehen aus Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:
- Umgebung
- Standort
- Zone
- Hardwaremodelle
- Zugriffssteuerungsbeziehungen zwischen Ressourcen und Identitäten
Im Folgenden sind die spezifischen Typen von Google Cloud-Asset-Metadaten aufgeführt, die in Ihr Chronicle-Konto exportiert werden:
- GCP_BIGQUERY_CONTEXT
- GCP_CLOUD_FUNCTIONS_CONTEXT
- GCP_COMPUTE_CONTEXT
- GCP_IAM_CONTEXT
- GCP_IAM_ANALYSIS
- GCP_KUBERNETES_CONTEXT
- GCP_NETWORK_CONNECTIVITY_CONTEXT
- GCP_RESOURCE_MANAGER_CONTEXT
- GCP_SQL_CONTEXT
- GCP_STORAGE_CONTEXT
Im Folgenden finden Sie einige Beispiele für Google Cloud-Asset-Metadaten:
- Name der Anwendung:
Google-iamSample/0.1
- Projektname:
projects/my-project
Beispiele für die Felder von Resource Manager-Kontextlogfeldern sind assetType
, resource.data.name
und resource.version
.
Weitere Informationen zu Ressourcentypen finden Sie unter Von Cloud Asset Inventory unterstützte Ressourcentypen.
Stellen Sie die Ein/Aus-Schaltfläche Cloud-Asset-Metadaten auf „Aktiviert“, um Ihre Google Cloud-Asset-Metadaten nach Chronicle zu exportieren.
Referenz zur Feldzuordnung und unterstützte Ressourcentypen
In der folgenden Tabelle sind die von Chronicle unterstützten Kontextparser, das entsprechende Aufnahmelabel und die unterstützten Ressourcentypen aufgeführt.
Klicken Sie in der Tabelle auf den Namen des entsprechenden Kontextparsers, um die Zuordnungsreferenzdokumentation des Kontextparsers aufzurufen.
Security Command Center-Ergebnisse nach Chronicle exportieren
Sie können Ergebnisse von Event Threat Detection (ETD) von Security Command Center Premium und alle anderen Ergebnisse nach Chronicle exportieren.
Weitere Informationen zu den Ergebnissen von Event Threat Detection finden Sie in der Übersicht zu Security Command Center.
Aktivieren Sie die Ein/Aus-Schaltfläche Security Command Center Premium-Ergebnisse, um die Ergebnisse der Premium-Stufe von Security Command Center nach Chronicle zu exportieren.
Sensitive Data Protection-Daten nach Chronicle exportieren
So nehmen Sie Sensitive Data Protection-Asset-Metadaten (DLP_CONTEXT
) auf:
- Aktivieren Sie die Google Cloud-Datenaufnahme, indem Sie den vorherigen Abschnitt in diesem Dokument ausführen.
- Konfigurieren Sie den Schutz sensibler Daten für das Profil von Daten.
- Konfigurieren Sie die Scankonfiguration so, dass Datenprofile in Chronicle veröffentlicht werden.
Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.
Google Cloud-Datenaufnahme deaktivieren
Aktivieren Sie das Kästchen Ich möchte die Verbindung von Chronicle trennen und das Senden von Google Cloud-Logs an Chronicle beenden.
Klicken Sie auf Verbindung zu Chronicle trennen.
Fehlerbehebung
- Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Chronicle-System fehlen, stellen Sie die Ein/Aus-Schaltfläche Cloud-Logs nach Chronicle exportieren auf deaktiviert und dann wieder auf aktiviert.
- Die Asset-Metadaten werden regelmäßig in Chronicle aufgenommen. Es kann mehrere Stunden dauern, bis Änderungen in der Chronicle-Benutzeroberfläche und in den APIs sichtbar sind.
Nächste Schritte
- Öffnen Sie Ihr Chronicle-Konto mit der kundenspezifischen URL, die Sie von Ihrem Chronicle-Ansprechpartner erhalten haben.
- Weitere Informationen zu Chronicle