Menyerap data Google Cloud ke Chronicle

Halaman ini menunjukkan cara mengaktifkan dan menonaktifkan penyerapan data Google Cloud Anda ke Chronicle. Chronicle memungkinkan Anda menyimpan, menelusuri, dan memeriksa informasi keamanan gabungan untuk perusahaan Anda selama berbulan-bulan atau lebih sesuai dengan periode retensi data Anda.

Ringkasan

Ada dua opsi untuk mengirim data Google Cloud ke Chronicle. Memilih opsi yang tepat bergantung pada jenis log.

Opsi 1: Penyerapan langsung

Filter Cloud Logging khusus dapat dikonfigurasi di Google Cloud untuk mengirim jenis log tertentu ke Chronicle secara real-time. Log ini dihasilkan oleh layanan Google Cloud.

Chronicle akan menerima log meskipun dikecualikan pada level project di Google Cloud, tetapi disertakan dalam filter ekspor log dan logging Google Cloud level organisasi. Untuk mengecualikan log dari Chronicle, Anda harus memperbarui filter ekspor log Chronicle di Google Cloud.

Jenis log yang tersedia meliputi:

Cloud Audit Logs
Cloud NAT
Cloud DNS
Firewall Cloud Next Generation
Cloud Intrusion Detection System
Cloud Load Balancing
Cloud SQL
Log Peristiwa Windows
Syslog Linux
Sistem Linux
Zek
Google Kubernetes Engine
Daemon Audit (diaudit)
Apigee
reCAPTCHA Enterprise
Log Cloud Run (GCP_RUN)
Firewall Cloud Generasi Berikutnya

Untuk mengumpulkan log aplikasi Compute Engine atau Google Kubernetes Engine (GKE) (seperti Apache, Nginx, atau IIS), gunakan Opsi 2. Selain itu, ajukan tiket Dukungan dengan Chronicle untuk memberikan masukan sebagai pertimbangan di masa mendatang dalam memberikan dukungan sebagai jenis log melalui Opsi 1.

Untuk mengetahui filter log tertentu dan detail penyerapan lainnya, lihat Mengekspor Google Cloud Logs ke Chronicle.

Metadata Google Cloud tambahan yang akan digunakan sebagai konteks untuk tujuan pengayaan juga dapat dikirim ke Chronicle. Lihat Mengekspor Metadata Aset Google Cloud ke Chronicle untuk mengetahui detail selengkapnya.

Opsi 2: Google Cloud Storage

Cloud Logging dapat merutekan log ke Cloud Storage agar diambil oleh Chronicle secara terjadwal.

Untuk mengetahui detail tentang cara mengonfigurasi Cloud Storage for Chronicle, lihat Pengelolaan Feed: Cloud Storage.

Sebelum memulai

Sebelum dapat menyerap data Google Cloud ke instance Chronicle, Anda harus menyelesaikan langkah-langkah berikut:

Hubungi perwakilan Chronicle dan dapatkan kode akses sekali pakai yang diperlukan untuk menyerap data Google Cloud Anda.
Berikan peran IAM berikut yang diperlukan agar Anda dapat mengakses bagian Chronicle:
- Chronicle Service Admin (roles/chroniclesm.admin): Peran IAM untuk melakukan semua aktivitas.
- Chronicle Service Viewer (roles/chroniclesm.viewer): Peran IAM untuk hanya melihat status penyerapan.
- Security Center Admin Editor (roles/securitycenter.adminEditor): Diperlukan untuk mengaktifkan penyerapan Metadata Aset Cloud.
Jika berencana mengaktifkan Metadata Aset Cloud, Anda juga harus mengaktifkan layanan Google Cloud paket Standar Security Command Center atau Paket Premium Security Command Center. Lihat Mengaktifkan Security Command Center untuk organisasi guna mengetahui informasi selengkapnya.

Memberikan Peran IAM

Anda dapat memberikan peran IAM yang diperlukan menggunakan Google Cloud Console atau gcloud CLI.

Untuk memberikan peran IAM menggunakan Konsol Google Cloud, selesaikan langkah-langkah berikut:

Login ke Organisasi Google Cloud yang ingin Anda hubungkan, lalu buka layar IAM menggunakan Products > IAM & Admin > IAM.
Dari layar IAM, pilih pengguna dan klik Edit Anggota.

Catatan: Jika Anda tidak berada dalam tampilan Organisasi IAM, tombol Edit Anggota akan dinonaktifkan dan Anda harus membuka layar IAM organisasi.
Di layar Edit Izin, klik Tambahkan Peran Lain, lalu telusuri Chronicle untuk menemukan peran IAM.
Setelah menetapkan peran, klik Simpan.

Untuk memberikan peran IAM menggunakan Google Cloud CLI, selesaikan langkah-langkah berikut:

Pastikan Anda login ke organisasi yang benar. Verifikasi hal ini dengan menjalankan perintah gcloud init.
Untuk memberikan peran IAM Chronicle Service Admin menggunakan gcloud, jalankan perintah berikut:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Ganti kode berikut:
- ORGANIZATION_ID: ID organisasi numerik.
- USER_EMAIL: alamat email pengguna admin.

Untuk memberikan peran IAM Chronicle Service Viewer menggunakan gcloud, jalankan perintah berikut:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Untuk memberikan peran Security Center Admin Editor menggunakan gcloud, jalankan perintah berikut:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Mengaktifkan penyerapan data Google Cloud

Data Google Cloud diserap menggunakan API internal pribadi antara Security Command Center dan Chronicle. Penyerapan tidak pernah mencapai jaringan eksternal dan tidak pernah menggunakan alamat IP. Google mengakses log Google Cloud secara langsung berdasarkan autentikasi yang dilakukan menggunakan kode sekali pakai yang disediakan oleh Chronicle for Security Command Center.

Untuk mengaktifkan penyerapan data dari organisasi Google Cloud Anda ke instance Chronicle, selesaikan langkah-langkah berikut:

Buka halaman Chronicle untuk konsol Google Cloud.
Buka halaman Chronicle
Masukkan kode akses sekali pakai di kolom 1-time Chronicle access code.
Untuk mengizinkan penggunaan Chronicle, centang kotak berlabel Saya menyetujui persyaratan dan ketentuan penggunaan data Google Cloud saya di Chronicle.
Klik Connect Chronicle.

Data Google Cloud Anda akan dikirim ke Chronicle. Anda dapat menggunakan fitur analisis Chronicle untuk menyelidiki semua masalah terkait keamanan. Bagian selanjutnya menjelaskan cara menyesuaikan jenis data Google Cloud yang akan dikirim ke Chronicle

Mengekspor Log Google Cloud ke Chronicle

Anda dapat mengekspor jenis data Google Cloud berikut ke instance Chronicle:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (diekspor oleh filter default)
- log_id("cloudaudit.googleapis.com/system_event") (diekspor oleh filter default)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (diekspor oleh filter default)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Pengelolaan ini termasuk log dari Google Cloud Armor dan Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WinEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Sesuaikan ekspresi reguler filter log sesuai kebutuhan
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Untuk mengekspor log Google Cloud ke Chronicle, tetapkan tombol Log Google Cloud ke aktif. Semua jenis log Google Cloud yang tercantum di atas akan diekspor ke instance Chronicle.

Log Google Cloud

Untuk mengetahui praktik terbaik terkait filter log yang akan digunakan, lihat Analisis log keamanan di Google Cloud.

Ekspor Setelan Filter

Secara default, log Audit Cloud (aktivitas admin dan peristiwa sistem) dan log Cloud DNS dikirim ke akun Chronicle. Namun, Anda dapat menyesuaikan filter ekspor untuk menyertakan atau mengecualikan jenis log tertentu. Filter ekspor didasarkan pada bahasa kueri logging Google.

Untuk menentukan filter kustom untuk log Anda, selesaikan langkah-langkah berikut:

Tentukan filter Anda dengan membuat filter kustom untuk log menggunakan bahasa kueri logging. Dokumentasi berikut menjelaskan cara menentukan jenis filter ini: /logging/docs/view/logging-query-language
Buka Logs Explorer menggunakan link yang disediakan di tab Export Filter Settings, salin kueri baru Anda ke kolom Query, lalu klik Run Query untuk mengujinya.

Pastikan log cocok yang ditampilkan di Logs Explorer sama persis dengan yang ingin Anda ekspor ke Chronicle.

Selesaikan langkah-langkah berikut dari tab Setelan Filter Ekspor:

Setelah filter siap, klik ikon edit dan tempelkan filter di kolom Ekspor filter.
Klik Simpan Filter Kustom. Filter kustom baru Anda berfungsi terhadap semua log baru yang diekspor ke akun Chronicle.
Anda dapat mereset filter ekspor ke versi default dengan mengklik Reset ke Default. Pastikan untuk menyimpan salinan filter kustom Anda terlebih dahulu.

Menyesuaikan filter log Audit Cloud

Log Akses Data Cloud Audit dapat menghasilkan log dalam jumlah besar tanpa banyak nilai deteksi ancaman. Jika memilih untuk mengirim log ini ke Chronicle, Anda harus memfilter log yang dihasilkan oleh aktivitas rutin.

Filter ekspor berikut merekam log akses data dan mengecualikan peristiwa bervolume tinggi seperti operasi Baca dan Daftar pada Cloud Storage serta Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Untuk mengetahui informasi selengkapnya tentang cara menyesuaikan log Akses Data Cloud Audit, lihat di sini.

Contoh Filter Ekspor

Contoh filter ekspor berikut mengilustrasikan cara menyertakan atau mengecualikan jenis log tertentu agar tidak diekspor ke akun Chronicle.

Contoh Filter Ekspor 1: Menyertakan jenis log tambahan

Filter ekspor berikut mengekspor log transparansi akses selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Contoh Filter Ekspor 2: Menyertakan log tambahan dari project tertentu

Filter ekspor berikut mengekspor log transparansi akses dari project tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor 3: Menyertakan log tambahan dari folder tertentu

Filter ekspor berikut mengekspor log transparansi akses dari folder tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor 4: Mengecualikan log dari project tertentu

Filter ekspor berikut mengekspor log default dari seluruh organisasi Google Cloud, kecuali project tertentu:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Mengekspor Metadata Aset Google Cloud ke Chronicle

Anda dapat mengekspor metadata Aset Google Cloud ke Chronicle. Metadata aset ini diambil dari Inventaris Aset Google Cloud Anda dan terdiri dari informasi tentang aset, resource, dan identitas Anda yang meliputi hal berikut:

Lingkungan
Location
Zone
Model hardware
Hubungan kontrol akses antara resource dan identitas

Berikut adalah jenis-jenis metadata Aset Google Cloud tertentu yang akan diekspor ke akun Chronicle Anda:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Berikut adalah beberapa contoh metadata Aset Google Cloud:

Nama aplikasi—Google-iamSample/0.1
Nama project—projects/my-project

Contoh kolom log konteks Resource Manager meliputi assetType, resource.data.name, dan resource.version.

Untuk mengetahui informasi selengkapnya tentang jenis resource, lihat Jenis resource yang didukung Inventaris Aset Cloud.

Untuk mengekspor metadata Aset Google Cloud Anda ke Chronicle, tetapkan tombol Cloud Asset Metadata ke Aktif.

Aktifkan Metadata Aset Cloud.

Referensi pemetaan kolom dan jenis resource yang didukung

Tabel berikut mencantumkan parser konteks yang didukung Chronicle, label penyerapan yang sesuai, dan jenis resource yang didukung.

Untuk melihat dokumentasi referensi pemetaan parser konteks, klik nama parser konteks yang sesuai dalam tabel.

Nama layanan	Label penyerapan	Jenis resource yang didukung
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Mengekspor temuan Security Command Center ke Chronicle

Anda dapat mengekspor temuan Deteksi Ancaman Peristiwa (ETD) Security Command Center Premium dan semua temuan lainnya ke Chronicle.

Untuk mengetahui informasi selengkapnya tentang temuan Event Threat Detection, lihat Ringkasan Security Command Center.

Untuk mengekspor temuan tingkat Security Command Center Premium Anda ke Chronicle, setel tombol Temuan Premium Security Command Center ke aktif.

Mengaktifkan temuan tingkat Premium Security Command Center.

Mengekspor data Perlindungan Data Sensitif ke Chronicle

Untuk menyerap metadata aset Perlindungan Data Sensitif (DLP_CONTEXT), lakukan tindakan berikut:

Aktifkan penyerapan data Google Cloud dengan menyelesaikan bagian sebelumnya dalam dokumen ini.
Mengonfigurasi Perlindungan Data Sensitif ke data profil.
Konfigurasi konfigurasi pemindaian untuk memublikasikan profil data ke Chronicle.

Lihat dokumentasi Perlindungan Data Sensitif untuk informasi mendetail tentang cara membuat profil data untuk data BigQuery.

Menonaktifkan penyerapan data Google Cloud

Centang kotak berlabel Saya ingin memutuskan sambungan Chronicle dan berhenti mengirim Google Cloud Logs ke Chronicle.
Klik Putuskan hubungan Chronicle.

Pemecahan masalah

Jika hubungan antara resource dan identitas tidak ada di sistem Chronicle, setel tombol Export Cloud logs to Chronicle untuk dinonaktifkan lalu aktifkan lagi.
Metadata aset akan ditransfer ke Chronicle secara berkala. Tunggu beberapa jam agar perubahan terlihat di API dan UI Chronicle.

Langkah selanjutnya

Buka akun Chronicle menggunakan URL khusus pelanggan yang disediakan oleh perwakilan Chronicle Anda.
Pelajari Chronicle lebih lanjut.