Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Ingerir registros do GCP para o Chronicle

Nesta página, mostramos como ativar e desativar a ingestão de telemetria do GCP no Chronicle. Com o Chronicle, você pode armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa por meses ou mais.

Antes de começar

Antes de ingerir a telemetria do GCP na sua conta do Chronicle, siga estas etapas:

  1. Entre em contato com seu representante do Chronicle e receba o código de acesso único necessário para ingerir a telemetria do GCP.

  2. Conceda os papéis do IAM necessários para acessar a seção Chronicle:

    • Papel de administrador do serviço Chronicle para executar todas as atividades.
    • Papel de Visualizador de serviços do Chronicle para visualizar somente o estado de ingestão.

Como conceder papéis do IAM

Você pode conceder os papéis do IAM necessários usando o Console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o Console do Google Cloud, conclua as seguintes etapas:

  1. Faça login na organização do GCP a que você quer se conectar e navegue até a tela do IAM usando Produtos > IAM e administrador > IAM.
  2. Na tela do IAM, selecione o usuário e clique em Editar membro.

  3. Na tela "Editar permissões", clique em Adicionar outro papel e pesquise "Chronicle" para encontrar os papéis de IAM.

  4. Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, conclua as seguintes etapas:

  1. Verifique se você fez login na organização correta. Verifique isso executando o comando gcloud init.
  2. Para conceder o papel de administrador do IAM na ferramenta gcloud, execute o comando a seguir:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Para conceder o papel de leitor do IAM na ferramenta gcloud, execute o comando a seguir:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

Como ativar a ingestão de telemetria do GCP

Para ativar a ingestão de telemetria do GCP na sua conta do Chronicle, conclua as seguintes etapas:

  1. Acesse a página do Chronicle para acessar o console do Google Cloud.
    Acessar a página "Chronicle"

  2. Digite seu código de acesso único no campo Código de acesso único do Chronicle.

  3. Marque a caixa Concordo com os Termos e Condições de uso do Chronicle para meus dados do Google Cloud.

  4. Clique em Conectar o Chronicle.

    Conectar a página do Chronicle.

Agora sua telemetria do GCP será enviada ao Chronicle. Você pode usar os recursos de análise do Chronicle para investigar problemas relacionados à segurança. As seções a seguir descrevem maneiras de ajustar os tipos de telemetria do GCP que serão enviados ao Chronicle

Como exportar registros do Google Cloud para o Chronicle

Você pode exportar os seguintes tipos de registros do Google Cloud para sua conta do Chronicle:

  • GCP_CLOUDAUDIT:
    • log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
    • log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
    • log_id("cloudaudit.googleapis.com/data_access")
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • GCP_CLOUD_NAT:
    • log_id("compute.googleapis.com/nat_flows")
  • GCP_DNS:
    • log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
  • GCP_FIREWALL:
    • log_id("compute.googleapis.com/firewall")

Para exportar os registros do Google Cloud para o Chronicle, defina a opção Registros do Google Cloud como "Ativado". Todos os tipos de registro do Google Cloud listados acima serão exportados para sua conta do Chronicle.

Registros do Google Cloud

Exportar configurações do filtro

Por padrão, os registros de auditoria do Cloud (atividade do administrador e evento do sistema) e os registros do Cloud DNS são enviados para sua conta do Chronicle. No entanto, você pode personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é baseado na linguagem de consulta do Logging do Google.

Para definir um filtro personalizado para seus registros, siga estas etapas:

  1. Defina o filtro criando um filtro de cliente para os registros usando a linguagem de consulta do registro. A documentação a seguir descreve como definir esse tipo de filtro: https://cloud.google.com/logging/docs/view/logging-query-language

  2. Acesse o Explorador de registros usando o link fornecido na guia CONFIGURAÇÕES DE FILTRO DE EXPORTAÇÃO, copie sua nova consulta no campo Consulta e clique em Executar consulta para testá-la.

    Confirme que os registros correspondentes exibidos no Explorador de registros são exatamente o que você pretende exportar para o Chronicle.

    Guia &quot;Export Settings&quot;

    Guia "Export Settings"

Siga estas etapas na guia Exportar configurações do filtro:

  1. Quando o filtro estiver pronto, clique no ícone de edição e cole-o no campo de filtro Exportar na guia EXPORT SETTINGS SETTINGS.

  2. Clique em Salvar filtro personalizado. O novo filtro personalizado funciona com todos os novos registros exportados para sua conta do Chronicle.

  3. Se você quiser redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do filtro de cliente.

Exportar exemplos de filtros

Os exemplos de filtro de exportação a seguir mostram como incluir ou excluir determinados tipos de registro da sua conta do Chronicle.

Exemplo de filtro de exportação 1: incluir outros tipos de registro

O filtro de exportação a seguir exporta registros de acesso a dados, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/data_access")

Exemplo de filtro de exportação 2: incluir registros adicionais de um projeto específico

O filtro de exportação a seguir exporta registros de acesso a dados de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Fdata_access"

Exemplo de filtro de exportação 3: incluir registros adicionais de uma pasta específica

O filtro de exportação a seguir exporta registros de acesso a dados de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Fdata_access"

Exemplo de filtro de exportação 4: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a organização do GCP, exceto um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Como exportar metadados de recursos do Google Cloud para o Chronicle

É possível exportar seus metadados de recursos do Google Cloud para o Chronicle. Os metadados do recurso são extraídos do seu inventário de recursos do Google Cloud e consistem em informações sobre seus recursos e identidades, incluindo os seguintes:

  • Ambiente
  • Local
  • Zona
  • Modelos de hardware
  • Acessar relações de controle entre recursos e identidades

Veja a seguir os tipos específicos de metadados de recursos do Google Cloud que serão exportados para sua conta do Chronicle:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXTO
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_Storage_CONTEXT

Veja a seguir alguns exemplos de metadados de recursos do Google Cloud:

  • Nome do aplicativo — Google-iamSample/0.1
  • Nome do projeto — projects/my-project

Para exportar os metadados de recursos do Google Cloud para o Chronicle, defina o botão Cloud Asset Metadata como "Ativado".

Ativar metadados de recurso do Cloud.

Os metadados de recursos do Google Cloud aparecem no Chronicle a partir das origens de registros GCP IAM Context e GCP IAM Analysis.

Como exportar as descobertas do Security Command Center para o Chronicle

É possível exportar as seguintes descobertas do SCC Premium Event Threat Detection (ETD) para o Chronicle:

  • Malware: IP inválido
  • Malware: domínio inválido
  • Persistência: concessão anômala de IAM
  • Ataques de força bruta: SSH
  • Exfiltração: exfiltração de dados do BigQuery

Saiba mais sobre o ETD aqui.

Para exportar as descobertas do SCC Premium para o Chronicle, defina a opção Security Command Center Premium Findings como ativada.

Ative as descobertas premium do Security Command Center.

Como desativar a ingestão de telemetria do GCP

  1. Marque a caixa Quero desconectar o Chronicle e parar de enviar os registros do Google Cloud para o Chronicle.

  2. Clique em Desconectar o Chronicle.

    Desconectar o Chronicle.

Solução de problemas

  • Se as relações entre recursos e identidades não estiverem no sistema do Chronicle, defina a opção Export Cloud logs to Chronicle como desativada e ativada novamente.
  • Os metadados do recurso são periodicamente ingeridos no Chronicle. Aguarde algumas horas para que as mudanças fiquem visíveis na IU e nas APIs do Chronicle.

A seguir

  • Abra sua conta do Chronicle usando o URL específico do cliente fornecido pelo seu representante do Chronicle.
  • Saiba mais sobre o Chronicle.