Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Cloud IoT

Compatible avec:

Google SecOps SIEM

Ce guide explique comment exporter les journaux Cloud IoT vers Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait des champs des journaux au format JSON, puis les met en correspondance avec les champs correspondants du schéma UDM Google SecOps, ce qui permet de transformer les données de journal brutes en un format structuré adapté à l'analyse de sécurité.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous que Cloud IoT est configuré et actif dans votre environnement Google Cloud .
Assurez-vous de disposer d'un accès privilégié à Google Cloud.

Créer un bucket Google Cloud Storage

Connectez-vous à la console Google Cloud.
Accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:
1. Dans la section Premiers pas, procédez comme suit :
  1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple cloudiot-logs.
  2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
    
    Remarque :Vous ne pouvez pas activer l'espace de noms hiérarchique dans un bucket existant.
  3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
  4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
  1. Sélectionnez un type d'emplacement.
  2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
    
    Remarque :Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
  3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
  
  Remarque :Si la protection contre l'accès public est déjà appliquée par la règle d'administration de votre projet, la case à cocher Empêcher l'accès public est verrouillée.
5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:
  1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
  2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.

Configurer l'exportation des journaux dans Cloud IoT

Connectez-vous à votre compte Google Cloud à l'aide de votre compte privilégié.
Recherchez et sélectionnez Journalisation dans la barre de recherche.
Dans l'explorateur de journaux, filtrez les journaux en sélectionnant Cloud IoT Core, puis cliquez sur Appliquer.
Cliquez sur Autres actions.
Cliquez sur Créer un récepteur.
Fournissez les configurations suivantes :
1. Détails du récepteur: saisissez un nom et une description.
2. Cliquez sur Suivant.
3. Destination du récepteur: sélectionnez Bucket Cloud Storage.
4. Bucket Cloud Storage: sélectionnez le bucket créé précédemment ou créez-en un.
5. Cliquez sur Suivant.
6. Choisir des journaux à inclure dans le récepteur: un journal par défaut est renseigné lorsque vous sélectionnez une option dans le bucket Cloud Storage.
7. Cliquez sur Suivant.
8. Facultatif: Choisir des journaux à exclure du récepteur: sélectionnez les journaux que vous ne souhaitez pas transmettre au récepteur.
Cliquez sur Créer un récepteur.
Dans la console GCP, accédez à Logging > Log Router (Journaux > Routeur de journaux).
Cliquez sur Créer un récepteur.

Configurer un flux dans Google SecOps pour ingérer des journaux Cloud IoT

Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, GCP Cloud IoT Logs).
Sélectionnez Google Cloud Storage comme Type de source.
Sélectionnez GCP Cloud IoT comme Type de journal.
Cliquez sur Obtenir un compte de service comme compte de service Chronicle.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants:
- URI du bucket Storage: Google Cloud URL du bucket Storage au format gs://my-bucket/<value>.
- L'URI est: sélectionnez Répertoire incluant des sous-répertoires.
- Options de suppression de la source: sélectionnez l'option de suppression de votre choix.
  
  Remarque :Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé appliqué aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
insertId	metadata.product_log_id	Mappé directement à partir du champ `insertId`.
jsonPayload.eventType	metadata.product_event_type	Mappé directement à partir du champ `jsonPayload.eventType`.
jsonPayload.protocol	network.application_protocol	Mappé directement à partir du champ `jsonPayload.protocol`.
jsonPayload.serviceName	target.application	Mappé directement à partir du champ `jsonPayload.serviceName`.
jsonPayload.status.description	metadata.description	Mappé directement à partir du champ `jsonPayload.status.description`.
jsonPayload.status.message	security_result.description	Mappé directement à partir du champ `jsonPayload.status.message`.
labels.device_id	principal.asset_id	La valeur est définie sur `Device ID:` concaténée avec la valeur du champ `labels.device_id`.
receiveTimestamp	metadata.event_timestamp	Extrait du champ `receiveTimestamp` et utilisé pour renseigner à la fois `events.timestamp` et `metadata.event_timestamp`.
resource.labels.device_num_id	target.resource.product_object_id	Mappé directement à partir du champ `resource.labels.device_num_id`.
resource.labels.location	target.location.name	Mappé directement à partir du champ `resource.labels.location`.
resource.labels.project_id	target.resource.name	Mappé directement à partir du champ `resource.labels.project_id`.
resource.type	target.resource.resource_subtype	Mappé directement à partir du champ `resource.type`.
de gravité,	security_result.severity	Mappé à partir du champ `severity` selon la logique suivante : : si `severity` est `DEFAULT`, `DEBUG`, `INFO` ou `NOTICE`, `security_result.severity` est défini sur `INFORMATIONAL`. : si `severity` est `WARNING` ou `ERROR`, `security_result.severity` est défini sur `MEDIUM`. : si `severity` est `CRITICAL`, `ALERT` ou `EMERGENCY`, `security_result.severity` est défini sur `HIGH`.
N/A	metadata.log_type	Codé en dur sur `GCP_CLOUDIOT`.
N/A	metadata.vendor_name	Codé en dur sur `Google Cloud Platform`.
N/A	metadata.event_type	Codé en dur sur `GENERIC_EVENT`.
N/A	metadata.product_name	Codé en dur sur `GCP_CLOUDIOT`.

Modifications

2022-06-06

Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.