Collecter les journaux Cloud IDS (Cloud Intrusion Detection System)

Compatible avec:

Ce document explique comment exporter et ingérer les journaux de l'IDS Cloud dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les journaux Cloud IDS au format JSON brut de Google Cloud en format UDM structuré. Il extrait les champs pertinents, les met en correspondance avec le schéma UDM, catégorise les événements et enrichit les données avec un contexte supplémentaire, comme la direction du réseau et les types de ressources.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous que Cloud IDS est configuré et actif dans votre environnement Google Cloud .
  • Assurez-vous de disposer d'un accès privilégié à Google Cloud et des autorisations appropriées pour accéder à Cloud IDS.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple gcp-ids-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux Cloud IDS

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, google-cloud-ids-logs-sink).
    • Destination du sink: sélectionnez Cloud Storage et indiquez l'URI du bucket de stockage (par exemple, gs://gcp-ids-logs). Google Cloud

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/cloud-ids"

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux Cloud IDS

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, GCP IDS Logs).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez IDS GCP comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-ids-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
insertId metadata.product_log_id Mappage direct.
jsonPayload.alert_severity security_result.severity Mappage direct.
jsonPayload.alert_time metadata.event_timestamp Mappage direct.
jsonPayload.application principal.application Mappage direct, uniquement si la direction est du serveur vers le client.
jsonPayload.application target.application Mappage direct, uniquement si la direction est de client à serveur ou si logName contient traffic.
jsonPayload.category security_result.category Mappé en fonction de la valeur de "jsonPayload.category":
- 'dos': NETWORK_DENIAL_OF_SERVICE
- 'info-leak': NETWORK_SUSPICIOUS
- 'protocol-anomaly': NETWORK_MALICIOUS
- 'backdoor', 'spyware', 'trojan': SOFTWARE_MALICIOUS
jsonPayload.category security_result.category_details Mappage direct.
jsonPayload.cves extensions.vulns.vulnerabilities.cve_id Mappage direct, itération sur le tableau.
jsonPayload.destination_ip_address target.ip Mappage direct.
jsonPayload.destination_port target.port Mappage direct.
jsonPayload.details extensions.vulns.vulnerabilities.description Mappage direct.
jsonPayload.details security_result.detection_fields.value Mappé si "jsonPayload.repeat_count" existe. La clé est définie sur "repeat_count".
jsonPayload.direction network.direction Mappé en fonction de la valeur de "jsonPayload.direction":
- "client-to-server": SORTANT
- "server-to-client": ENTRANT
jsonPayload.elapsed_time network.session_duration.seconds Mappage direct.
jsonPayload.ip_protocol network.ip_protocol Mappage direct, conversion en majuscules, puis mappage sur le numéro de protocole.
jsonPayload.name security_result.threat_name Mappage direct.
jsonPayload.network principal.resource.name Mappage direct, uniquement si la direction est du serveur vers le client.
jsonPayload.network target.resource.name Mappage direct, uniquement si la direction est de client à serveur ou si logName contient traffic.
jsonPayload.repeat_count security_result.detection_fields.value Mappé, le cas échéant. La clé est définie sur "repeat_count".
jsonPayload.session_id network.session_id Mappage direct.
jsonPayload.source_ip_address principal.ip Mappage direct.
jsonPayload.source_port principal.port Mappage direct.
jsonPayload.start_time about.labels.value Mappé, le cas échéant. La clé est définie sur "start_time".
jsonPayload.start_time additional.fields.value.string_value Mappé, le cas échéant. La clé est définie sur "start_time".
jsonPayload.threat_id security_result.threat_id Mappage direct.
jsonPayload.total_bytes about.labels.value Mappé, le cas échéant. La clé est définie sur "total_bytes".
jsonPayload.total_bytes additional.fields.value.string_value Mappé, le cas échéant. La clé est définie sur "total_bytes".
jsonPayload.total_packets about.labels.value Mappé, le cas échéant. La clé est définie sur "total_packets".
jsonPayload.total_packets additional.fields.value.string_value Mappé, le cas échéant. La clé est définie sur "total_packets".
jsonPayload.type security_result.detection_fields.value Mappé, le cas échéant. La clé est définie sur "type".
jsonPayload.uri_or_filename target.file.full_path Mappage direct.
logName security_result.category_details Mappage direct.
receiveTimestamp metadata.collected_timestamp Mappage direct.
resource.labels.id observer.resource.product_object_id Mappage direct.
resource.labels.location observer.location.name Mappage direct.
resource.labels.resource_container observer.resource.name Mappage direct.
resource.type observer.resource.resource_subtype Mappage direct.
metadata.event_type Déterminé par un ensemble de règles conditionnelles en fonction de la présence et des valeurs d'autres champs. La valeur par défaut est "GENERIC_EVENT".
metadata.vendor_name Valeur statique: Google Cloud Platform.
metadata.product_name Valeur statique: GCP_IDS.
metadata.log_type Valeur statique: GCP_IDS.
extensions.vulns.vulnerabilities.vendor Valeur statique: GCP_IDS, ajoutée pour chaque CVE dans "jsonPayload.cves".
principal.resource.resource_type Valeur statique: VPC_NETWORK, ajoutée si "jsonPayload.network" existe et que la direction est de serveur à client.
target.resource.resource_type Valeur statique: VPC_NETWORK, ajoutée si "jsonPayload.network" existe et que la direction est client-serveur ou que logName contient traffic.
observer.resource.resource_type Valeur statique: CLOUD_PROJECT, ajoutée si "resource.labels.resource_container" ou "resource.type" existe.
observer.resource.attribute.cloud.environment Valeur statique: GOOGLE_CLOUD_PLATFORM, ajoutée si "resource.labels.resource_container" ou "resource.type" existe.
is_alert "True" si "jsonPayload.alert_severity" est "CRITICAL", sinon "false".
is_significant "True" si "jsonPayload.alert_severity" est "CRITICAL", sinon "false".

Modifications

2024-05-01

  • Ajout de mises en correspondance supplémentaires pour les noun.labels obsolètes.

2023-12-13

  • L'analyseur GCP_IDS a été défini par défaut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.