Importa i dati di Google Cloud in Google Security Operations

Supportato in:

Questa pagina mostra come attivare e disattivare l'importazione dei dati di Google Cloud in Google Security Operations. Google Security Operations ti consente di archiviare, cercare ed esaminare le informazioni di sicurezza aggregate per la tua azienda fino a mesi o più in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati di Google Cloud a Google Security Operations. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare un filtro speciale di Cloud Logging per inviare in tempo reale tipi di log specifici a Google Security Operations. Questi log vengono generati dai servizi Google Cloud.

I tipi di log disponibili includono:

  • Cloud Audit Logs
  • Cloud NAT
  • Cloud DNS
  • Cloud Next Generation Firewall
  • Cloud Intrusion Detection System
  • Cloud Load Balancing
  • Cloud SQL
  • Log eventi di Windows
  • Syslog di Linux
  • Sysmon per Linux
  • Zeek
  • Google Kubernetes Engine
  • Audit Daemon (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Log di Cloud Run (GCP_RUN)

Per raccogliere i log delle applicazioni Compute Engine o Google Kubernetes Engine (GKE) (ad esempio Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, apri un ticket di assistenza con Google Security Operations per fornire un feedback da prendere in considerazione in futuro per supportare l'utilizzo dell'importazione diretta (opzione 1).

Per filtri dei log specifici e ulteriori dettagli sull'importazione, vedi Esportare i log di Google Cloud in Google Security Operations.

Puoi anche inviare i metadati delle risorse Google Cloud utilizzati per l'arricchimento del contesto. Per ulteriori dettagli, consulta Esportare i metadati delle risorse Google Cloud in Google Security Operations.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log in Cloud Storage per essere recuperati da Google Security Operations in base a una pianificazione.

Per informazioni dettagliate su come configurare Cloud Storage per Google Security Operations, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare i dati di Google Cloud in un'istanza di Google Security Operations, devi completare i seguenti passaggi:

  1. Concedi i seguenti ruoli IAM necessari per accedere alla sezione Google Security Operations:

    • Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
    • Visualizzatore del servizio Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
    • Editor di amministrazione di Security Center (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati delle risorse cloud.
  2. Se prevedi di abilitare i metadati di Cloud Asset, devi eseguire l'onboarding dell'organizzazione in Security Command Center. Per ulteriori informazioni, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concedere i ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

  1. Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.

  2. Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

  3. Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google Security Operations per trovare i ruoli IAM.

  4. Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa i seguenti passaggi:

  1. Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.

  2. Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui il seguente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/chroniclesm.admin
    

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
    • USER_EMAIL: l'indirizzo email dell'utente.
  3. Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando gcloud, esegui il seguente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/chroniclesm.viewer
    
  4. Per concedere il ruolo Editor amministratore di Security Center utilizzando gcloud, esegui il seguente comando:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
     --member "user:USER_EMAIL" \
     --role roles/securitycenter.adminEditor`
    

Attivare l'importazione diretta da Google Cloud

I passaggi per attivare l'importazione diretta da Google Cloud sono diversi a seconda della proprietà del progetto a cui è associata l'istanza di Google Security Operations.

Dopo aver configurato l'importazione diretta, i dati di Google Cloud vengono inviati a Google Security Operations. Puoi utilizzare le funzionalità di analisi di Google Security Operations per esaminare i problemi relativi alla sicurezza.

Configurare l'importazione quando il progetto è di proprietà del cliente

Se sei il proprietario del progetto Google Cloud, segui questi passaggi.

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificare una configurazione esistente, segui questi passaggi.

Quando esegui la migrazione di un'istanza Google Security Operations esistente in modo che si leghi a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita la migrazione anche della configurazione dell'importazione diretta.

  1. Vai alla pagina Google SecOps > Impostazioni importazione nella console Google Cloud.
    Vai alla pagina Google SecOps
  2. Seleziona il progetto associato all'istanza Google Security Operations.
  3. Nel menu Organizzazione, seleziona l'organizzazione da cui verranno esportati i log. Il menu mostra le organizzazioni a cui hai l'autorizzazione di accesso. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'istanza Google SecOps diversa.

    Seleziona organizzazione

  4. Nella sezione Impostazione di importazione di Google Cloud, fai clic sul pulsante di attivazione/disattivazione Invio di dati a Google Security Operations per attivare l'invio dei log a Google Security Operations.

  5. Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google Security Operations:

  6. Nella sezione Impostazioni filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzino i dati di Cloud Logging esportati in Google Security Operations. Consulta Esportare i log di Google Cloud per i tipi di dati dei log che esporti.

  7. Per importare i log da un'altra organizzazione nella stessa istanza di Google Security Operations, selezionare l'organizzazione dal menu Organizzazione e ripetere i passaggi per definire il tipo di dati da esportare e i filtri di esportazione. Nel menu Organizzazione sono elencate più organizzazioni.

  8. Per esportare i dati di Google Cloud Data Loss Prevention in Google Security Operations, consulta Esportare i dati di Google Cloud Data Loss Prevention in Google Security Operations.

Configurare l'importazione quando un progetto è di proprietà di Google Cloud

Se il progetto è di proprietà di Google Cloud, segui questa procedura per configurare l'importazione diretta dalla tua organizzazione Google Cloud all'istanza Google Security Operations:

  1. Nella console Google Cloud, vai alla scheda Google SecOps > Panoramica > Importazione. Vai alla scheda Importazione di Google SecOps
  2. Fai clic sul pulsante Gestisci le impostazioni di importazione dell'organizzazione.
  3. Se visualizzi il messaggio Pagina non visibile per i progetti, seleziona un'organizzazione e poi fai clic su Seleziona.
  4. Inserisci il tuo codice di accesso una tantum nel campo Codice di accesso una tantum a Google Security Operations.
  5. Seleziona la casella Accetto i termini e le condizioni di Google Security Operations relativi all'utilizzo dei miei dati di Google Cloud.
  6. Fai clic su Connetti Google SecOps.
  7. Vai alla scheda Impostazioni di importazione globale dell'organizzazione.
  8. Seleziona il tipo di dati da inviare attivando una o più delle seguenti opzioni:

  9. Vai alla scheda Impostazioni filtro di esportazione.

  10. Nella sezione Impostazioni filtro di esportazione dei clienti, definisci filtri di esportazione che personalizzino i dati di Cloud Logging esportati in Google Security Operations. Consulta Esportare i log di Google Cloud per informazioni sui tipi di dati dei log che esporti.

  11. Per esportare i dati di Cloud Data Loss Prevention di Google Cloud in Google Security Operations, consulta Esportare i dati di Cloud Data Loss Prevention di Google Cloud in Google Security Operations.

Esportare i log di Google Cloud

Dopo aver attivato Logging in Cloud, puoi esportare i seguenti tipi di dati di Google Cloud nell'istanza Google Security Operations, elencati in base al tipo di log e all'etichetta di importazione di Google Security Operations:

  • Audit log di Cloud(GCP_CLOUDAUDIT): sono inclusi gli audit log Attività di amministrazione, Evento di sistema, Access Transparency e Accesso negato in base ai criteri.
    • log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
    • log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • Log di Cloud NAT(GCP_CLOUD_NAT):
    • log_id("compute.googleapis.com/nat_flows")
  • Log di Cloud DNS (GCP_DNS):
    • log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
  • Log di Cloud Next Generation Firewall(GCP_FIREWALL):
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS:
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING:
    • log_id("requests") Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
  • GCP_CLOUDSQL:
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM:
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON:
    • log_id("sysmon.raw")
  • WINEVTLOG:
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON:
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE:
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • AUDITD:
    • log_id("audit_log")
  • GCP_APIGEE_X:
    • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
  • GCP_RECAPTCHA_ENTERPRISE:
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN:
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE:
    • log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare i log di Google Cloud in Google Security Operations, imposta il pulsante di attivazione/disattivazione Attiva i log di Cloud su Attivato. I tipi di log di Google Cloud supportati possono essere esportati nell'istanza di Google Security Operations.

Per le best practice su quali filtri dei log utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Le sezioni seguenti forniscono informazioni sui filtri di esportazione.

Impostazioni del filtro di esportazione personalizzato

Per impostazione predefinita, Cloud Audit Logs (attività di amministrazione ed evento di sistema) e i log di Cloud DNS vengono inviati all'istanza Google Security Operations. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query per i log di Google.

Per definire un filtro personalizzato per i log:

  1. Definisci il filtro creando un filtro personalizzato per i log utilizzando il linguaggio di query di logging. Per informazioni su come definire questo tipo di filtro, consulta Lingua di query di log.

  2. Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
    Vai alla pagina Google Security Operations

  3. Avvia Esplora log utilizzando il link fornito nella scheda Impostazioni filtro di esportazione.

  4. Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

  5. Copia la nuova query nel campo Esplora log > Query e poi fai clic su Esegui query per testarla.

  6. Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google Security Operations. Quando il filtro è pronto, copialo nella sezione Impostazioni del filtro di esportazione personalizzato per Google Security Operations.

  7. Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

    Sezione delle impostazioni del filtro di esportazione personalizzato

  8. Fai clic sull'icona di modifica del campo Filtro di esportazione e incolla il filtro nel campo.

  9. Fai clic sul pulsante Salva. Il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nell'istanza Google Security Operations.

  10. Puoi reimpostare il filtro di esportazione sulla versione predefinita facendo clic su Ripristina impostazioni predefinite. Assicurati innanzitutto di salvare una copia del filtro personalizzato.

Ottimizzare i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un volume elevato di dati senza un valore significativo per il rilevamento delle minacce. Se scegli di inviare questi log a Google Security Operations, devi escludere i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi ad alto volume, come le operazioni di lettura ed elencazione di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per saperne di più sulla regolazione dei log di accesso ai dati generati da Cloud Audit Logs, consulta Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione mostrano come includere o escludere l'esportazione di determinati tipi di log nell'istanza Google Security Operations.

Esempio di filtro di esportazione: includi altri tipi di log

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi da un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludi i log di un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dall'intera organizzazione Google Cloud, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportare i metadati delle risorse Google Cloud

Puoi esportare i metadati delle risorse Google Cloud da Cloud Asset Inventory in Google Security Operations. Questi metadati delle risorse sono ricavati da Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:

  • Ambiente
  • Località
  • Zona
  • Modelli hardware
  • Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di metadati delle risorse Google Cloud verranno esportati nell'istanza Google Security Operations:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di metadati delle risorse Google Cloud:

  • Nome dell'applicazione: Google-iamSample/0.1
  • Nome progetto: projects/my-project

Per esportare i metadati delle risorse Google Cloud in Google Security Operations, imposta il pulsante di attivazione/disattivazione Metadati delle risorse cloud su Attivato.

Abilita i metadati delle risorse cloud.

Per saperne di più sugli analizzatori di contesto, consulta Analizzatori di contesto di Google Security Operations.

Esportare i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google Security Operations.

Per ulteriori informazioni sui risultati di ETD, consulta la Panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google Security Operations, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato.

Esportare i dati di Sensitive Data Protection in Google Security Operations

Per importare i metadati delle risorse Sensitive Data Protection (DLP_CONTEXT), svolgi i seguenti passaggi:

  1. Attiva l'importazione dati di Google Cloud completando la sezione precedente di questo documento.
  2. Configura Sensitive Data Protection per profilare i dati.
  3. Configura la configurazione della scansione per pubblicare i profili di dati in Google Security Operations.

Per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery, consulta la documentazione di Sensitive Data Protection.

Disattivare l'importazione dati di Google Cloud

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud sono diversi a seconda della configurazione di Google Security Operations. Scegli una delle opzioni seguenti:

  • Se la tua istanza Google Security Operations è associata a un progetto di tua proprietà e gestione, svolgi i seguenti passaggi:

    1. Seleziona il progetto associato all'istanza di Google Security Operations.
    2. Nella console Google Cloud, vai alla scheda Importazione in Google SecOps.
      Vai alla pagina Google SecOps
    3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
    4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivato.
    5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattivarle, segui questi passaggi per ogni organizzazione.
  • Se l'istanza di Google Security Operations è associata a un progetto di proprietà e gestito da Google Cloud, svolgi i seguenti passaggi:

    1. Vai alla pagina Google SecOps > Importazione nella console Google Cloud.
      Vai alla pagina Google SecOps
    2. Nel menu Risorse, seleziona l'organizzazione associata all'istanza Google Security Operations da cui stai importando i dati.
    3. Seleziona la casella Voglio disconnettermi da Google Security Operations e interrompere l'invio dei log di Google Cloud in Google Security Operations.
    4. Fai clic su Disconnetti Google Security Operations.

Risoluzione dei problemi

  • Se le relazioni tra risorse e identità non sono presenti nell'istanza Google Security Operations, disattiva e riattiva l'importazione diretta dei dati dei log in Google Security Operations.
  • I metadati delle risorse Google Cloud vengono importati periodicamente in Google Security Operations. Attendi diverse ore affinché le modifiche siano visibili nelle API e nell'interfaccia utente di Google Security Operations.

Passaggi successivi

  • Apri l'istanza di Google Security Operations utilizzando l'URL specifico del cliente fornito dal tuo rappresentante di Google Security Operations.
  • Scopri di più su Google Security Operations.