Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud IoT-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Leitfaden wird beschrieben, wie Sie Cloud IoT-Logs mit Cloud Storage nach Google Security Operations exportieren. Der Parser extrahiert Felder aus JSON-formatierten Protokollen und ordnet diese Felder dann den entsprechenden Feldern im Google SecOps-UDM-Schema zu. Rohe Protokolldaten werden so in ein strukturiertes Format umgewandelt, das für die Sicherheitsanalyse geeignet ist.

Vorbereitung

Sie benötigen eine Google SecOps-Instanz.
Cloud IoT muss in Ihrer Umgebung eingerichtet und aktiv sein. Google Cloud
Sie benötigen Berechtigungen für Google Cloud.

Google Cloud Storage-Bucket erstellen

Melden Sie sich in der Google Cloud Console an.
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
  1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. cloudiot-logs.
  2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
    
    Hinweis: Sie können den hierarchischen Namespace nicht in einem vorhandenen Bucket aktivieren.
  3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.
  4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
  1. Standorttyp auswählen.
  2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
    
    Hinweis: Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
  3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
  
  Hinweis: Wenn die Verhinderung des öffentlichen Zugriffs bereits durch die Organisationsrichtlinie Ihres Projekts erzwungen wird, ist das Kästchen Öffentlichen Zugriff verhindern gesperrt.
5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
  1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
  2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.

Logexport in Cloud IoT konfigurieren

Melden Sie sich mit Ihrem Konto mit Berechtigungen in Ihrem Google Cloud-Konto an.
Suchen Sie in der Suchleiste nach Logging und wählen Sie diese Option aus.
Filtern Sie die Logs im Log-Explorer, indem Sie Cloud IoT Core auswählen und auf Übernehmen klicken.
Klicken Sie auf Weitere Aktionen.
Klicken Sie auf Senke erstellen.
Geben Sie die folgenden Konfigurationen an:
1. Senkendetails: Geben Sie einen Namen und eine Beschreibung ein.
2. Klicken Sie auf Weiter.
3. Senkenziel: Wählen Sie Cloud Storage-Bucket aus.
4. Cloud Storage-Bucket: Wählen Sie den zuvor erstellten Bucket aus oder erstellen Sie einen neuen.
5. Klicken Sie auf Weiter.
6. Logs auswählen, die in der Senke enthalten sind: Wenn Sie eine Option im Cloud Storage-Bucket auswählen, wird ein Standardprotokoll eingefügt.
7. Klicken Sie auf Weiter.
8. Optional: Auswählen zum Filtern aus der Senke: Wählen Sie die Logs aus, die nicht in die Senke geleitet werden sollen.
Klicken Sie auf Senke erstellen.
Klicken Sie in der GCP Console auf Logging > Log Router.
Klicken Sie auf Senke erstellen.

Feed in Google SecOps für die Aufnahme von Cloud IoT-Protokollen konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. GCP Cloud IoT Logs.
Wählen Sie Google Cloud Storage als Quelltyp aus.
Wählen Sie GCP Cloud IoT als Logtyp aus.
Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage Bucket-URI: Google Cloud Storage Bucket-URL im Format gs://my-bucket/<value>.
- URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
  
  Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
insertId	metadata.product_log_id	Direkt aus dem Feld `insertId` zugeordnet.
jsonPayload.eventType	metadata.product_event_type	Direkt aus dem Feld `jsonPayload.eventType` zugeordnet.
jsonPayload.protocol	network.application_protocol	Direkt aus dem Feld `jsonPayload.protocol` zugeordnet.
jsonPayload.serviceName	target.application	Direkt aus dem Feld `jsonPayload.serviceName` zugeordnet.
jsonPayload.status.description	metadata.description	Direkt aus dem Feld `jsonPayload.status.description` zugeordnet.
jsonPayload.status.message	security_result.description	Direkt aus dem Feld `jsonPayload.status.message` zugeordnet.
labels.device_id	principal.asset_id	Der Wert ist auf `Device ID:` mit dem Wert des Felds `labels.device_id` verknüpft.
receiveTimestamp	metadata.event_timestamp	Wird aus dem Feld `receiveTimestamp` geparst und sowohl für `events.timestamp` als auch für `metadata.event_timestamp` verwendet.
resource.labels.device_num_id	target.resource.product_object_id	Direkt aus dem Feld `resource.labels.device_num_id` zugeordnet.
resource.labels.location	target.location.name	Direkt aus dem Feld `resource.labels.location` zugeordnet.
resource.labels.project_id	target.resource.name	Direkt aus dem Feld `resource.labels.project_id` zugeordnet.
resource.type	target.resource.resource_subtype	Direkt aus dem Feld `resource.type` zugeordnet.
die Ausprägung	security_result.severity	Wird anhand der folgenden Logik aus dem Feld `severity` zugeordnet: – Wenn `severity` den Wert `DEFAULT`, `DEBUG`, `INFO` oder `NOTICE` hat, wird `security_result.severity` auf `INFORMATIONAL` festgelegt. – Wenn `severity` `WARNING` oder `ERROR` ist, wird `security_result.severity` auf `MEDIUM` gesetzt. – Wenn `severity` `CRITICAL`, `ALERT` oder `EMERGENCY` ist, wird `security_result.severity` auf `HIGH` festgelegt.
–	metadata.log_type	Hartcodiert auf `GCP_CLOUDIOT`.
–	metadata.vendor_name	Hartcodiert auf `Google Cloud Platform`.
–	metadata.event_type	Hartcodiert auf `GENERIC_EVENT`.
–	metadata.product_name	Hartcodiert auf `GCP_CLOUDIOT`.

Änderungen

2022-06-06

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten