Collecter les journaux Cloud Intrusion Detection System (Cloud IDS)
Ce document explique comment exporter et ingérer des journaux Cloud IDS dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les journaux Cloud IDS bruts au format JSON provenant de Google Cloud en un format UDM structuré. Il extrait les champs pertinents, les mappe au schéma UDM, catégorise les événements et enrichit les données avec un contexte supplémentaire, comme le sens du réseau et les types de ressources.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Instance Google SecOps.
- Cloud IDS est configuré et actif dans votre environnement Google Cloud .
- Accès privilégié à Google Cloud et autorisations appropriées pour accéder à Cloud IDS.
Créer un bucket Cloud Storage
- Connectez-vous à la consoleGoogle Cloud .
Accédez à la page Buckets Cloud Storage.
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :
Dans la section Premiers pas, procédez comme suit :
- Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-ids-logs).
Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
- Sélectionnez un type d'emplacement.
Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
Dans la section Choisir comment protéger les données d'objet, procédez comme suit :
- Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
- Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.
Configurer l'exportation des journaux Cloud IDS
- Connectez-vous à la consoleGoogle Cloud .
- Accédez à Logging> Routeur de journaux.
- Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants :
- Nom du récepteur : saisissez un nom explicite (par exemple,
google-cloud-ids-logs-sink). - Destination du récepteur : sélectionnez Cloud Storage et indiquez l'URI du bucket de stockage Google Cloud , par exemple
gs://gcp-ids-logs. Filtre de journaux :
logName="projects/<your-project-id>/logs/cloud-ids"
- Nom du récepteur : saisissez un nom explicite (par exemple,
Cliquez sur Créer.
Configurer les autorisations pour Cloud Storage
- Accédez à IAM et administration> IAM.
- Recherchez le compte de service Cloud Logging.
- Attribuez le rôle roles/storage.admin sur le bucket.
Configurer des flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM > Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux IDS GCP).
- Sélectionnez Google Cloud Storage V2 comme Type de source.
- Sélectionnez GCP IDS comme type de journal.
- Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- URI du bucket Storage : URL du bucket Cloud Storage (par exemple,
gs://gcp-ids-logs). - Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
Remarque : Si vous sélectionnez l'option
Delete transferred filesouDelete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service. - Âge maximal du fichier : inclut les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- URI du bucket Storage : URL du bucket Cloud Storage (par exemple,
- Cliquez sur Suivant.
- Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| insertId | metadata.product_log_id | Mappage direct. |
| jsonPayload.alert_severity | security_result.severity | Mappage direct. |
| jsonPayload.alert_time | metadata.event_timestamp | Mappage direct. |
| jsonPayload.application | principal.application | Mappage direct, uniquement si la direction est serveur vers client. |
| jsonPayload.application | target.application | Mappage direct, uniquement si la direction est client vers serveur ou si logName contient traffic. |
| jsonPayload.category | security_result.category | Mappé en fonction de la valeur de "jsonPayload.category" : - "dos" : NETWORK_DENIAL_OF_SERVICE - "info-leak" : NETWORK_SUSPICIOUS - "protocol-anomaly" : NETWORK_MALICIOUS - "backdoor", "spyware", "trojan" : SOFTWARE_MALICIOUS |
| jsonPayload.category | security_result.category_details | Mappage direct. |
| jsonPayload.cves | extensions.vulns.vulnerabilities.cve_id | Mappage direct, avec itération sur le tableau. |
| jsonPayload.destination_ip_address | target.ip | Mappage direct. |
| jsonPayload.destination_port | target.port | Mappage direct. |
| jsonPayload.details | extensions.vulns.vulnerabilities.description | Mappage direct. |
| jsonPayload.details | security_result.detection_fields.value | Mappé si "jsonPayload.repeat_count" existe. La clé est définie sur "repeat_count". |
| jsonPayload.direction | network.direction | Mappé en fonction de la valeur de "jsonPayload.direction" : - "client-to-server" : OUTBOUND - "server-to-client" : INBOUND |
| jsonPayload.elapsed_time | network.session_duration.seconds | Mappage direct. |
| jsonPayload.ip_protocol | network.ip_protocol | Mappage direct, conversion en majuscules, puis mappage au numéro de protocole. |
| jsonPayload.name | security_result.threat_name | Mappage direct. |
| jsonPayload.network | principal.resource.name | Mappage direct, uniquement si la direction est serveur vers client. |
| jsonPayload.network | target.resource.name | Mappage direct, uniquement si la direction est client vers serveur ou si logName contient traffic. |
| jsonPayload.repeat_count | security_result.detection_fields.value | Mappé s'il existe. La clé est définie sur "repeat_count". |
| jsonPayload.session_id | network.session_id | Mappage direct. |
| jsonPayload.source_ip_address | principal.ip | Mappage direct. |
| jsonPayload.source_port | principal.port | Mappage direct. |
| jsonPayload.start_time | about.labels.value | Mappé s'il existe. La clé est définie sur "start_time". |
| jsonPayload.start_time | additional.fields.value.string_value | Mappé s'il existe. La clé est définie sur "start_time". |
| jsonPayload.threat_id | security_result.threat_id | Mappage direct. |
| jsonPayload.total_bytes | about.labels.value | Mappé s'il existe. La clé est définie sur "total_bytes". |
| jsonPayload.total_bytes | additional.fields.value.string_value | Mappé s'il existe. La clé est définie sur "total_bytes". |
| jsonPayload.total_packets | about.labels.value | Mappé s'il existe. La clé est définie sur "total_packets". |
| jsonPayload.total_packets | additional.fields.value.string_value | Mappé s'il existe. La clé est définie sur "total_packets". |
| jsonPayload.type | security_result.detection_fields.value | Mappé s'il existe. La clé est définie sur "type". |
| jsonPayload.uri_or_filename | target.file.full_path | Mappage direct. |
| logName | security_result.category_details | Mappage direct. |
| receiveTimestamp | metadata.collected_timestamp | Mappage direct. |
| resource.labels.id | observer.resource.product_object_id | Mappage direct. |
| resource.labels.location | observer.location.name | Mappage direct. |
| resource.labels.resource_container | observer.resource.name | Mappage direct. |
| resource.type | observer.resource.resource_subtype | Mappage direct. |
| metadata.event_type | Déterminé par un ensemble de règles conditionnelles basées sur la présence et les valeurs d'autres champs, avec la valeur par défaut "GENERIC_EVENT". | |
| metadata.vendor_name | Valeur statique : Google Cloud Platform. |
|
| metadata.product_name | Valeur statique : GCP_IDS. |
|
| metadata.log_type | Valeur statique : GCP_IDS. |
|
| extensions.vulns.vulnerabilities.vendor | Valeur statique : GCP_IDS, ajoutée pour chaque CVE dans "jsonPayload.cves". |
|
| principal.resource.resource_type | Valeur statique : VPC_NETWORK, ajoutée si "jsonPayload.network" existe et que la direction est serveur vers client. |
|
| target.resource.resource_type | Valeur statique : VPC_NETWORK, ajoutée si "jsonPayload.network" existe et que la direction est client vers serveur ou que logName contient traffic. |
|
| observer.resource.resource_type | Valeur statique : CLOUD_PROJECT, ajoutée si "resource.labels.resource_container" ou "resource.type" existe. |
|
| observer.resource.attribute.cloud.environment | Valeur statique : GOOGLE_CLOUD_PLATFORM, ajoutée si "resource.labels.resource_container" ou "resource.type" existe. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.