Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Cloud IoT

Supportato in:

Google SecOps SIEM

Questa guida spiega come esportare i log di Cloud IoT in Google Security Operations utilizzando Cloud Storage. Il parser estrae i campi dai log in formato JSON e li mappa ai campi corrispondenti nello schema UDM di Google SecOps, trasformando infine i dati dei log non elaborati in un formato strutturato adatto all'analisi della sicurezza.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati che Cloud IoT sia configurato e attivo nel tuo Google Cloud ambiente.
Assicurati di disporre dell'accesso con privilegi a Google Cloud.

Crea un bucket Google Cloud Storage

Accedi alla console Google Cloud.
Vai alla pagina Bucket Cloud Storage.

Vai a Bucket
Fai clic su Crea.
Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:
1. Nella sezione Inizia:
  1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio cloudiot-logs.
  2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
    
    Nota: non puoi attivare lo spazio dei nomi gerarchico in un bucket esistente.
  3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
  4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:
  1. Seleziona un Tipo di località.
  2. Utilizza il menu del tipo di località per selezionare una Località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
    
    Nota: se selezioni il tipo di località a due regioni, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
  3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.
3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.
4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.
  
  Nota: se la prevenzione dell'accesso pubblico è già applicata dal criterio dell'organizzazione del progetto, la casella di controllo Impedisci accesso pubblico è bloccata.
5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
  1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
  2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.
Fai clic su Crea.

Configurare l'esportazione dei log in Cloud IoT

Accedi all'account Google Cloud utilizzando il tuo account con privilegi.
Cerca e seleziona Logging nella barra di ricerca.
In Esplora log, filtra i log scegliendo Cloud IoT Core e fai clic su Applica.
Fai clic su Altre azioni.
Fai clic su Crea sink.
Fornisci le seguenti configurazioni:
1. Dettagli della destinazione: inserisci un nome e una descrizione.
2. Fai clic su Avanti.
3. Destinazione della destinazione: seleziona Bucket Cloud Storage.
4. Bucket Cloud Storage: seleziona il bucket creato in precedenza o creane uno nuovo.
5. Fai clic su Avanti.
6. Scegli i log da includere nel sink: un log predefinito viene compilato quando selezioni un'opzione nel bucket Cloud Storage.
7. Fai clic su Avanti.
8. (Facoltativo) Scegli i log da escludere dal sink: seleziona i log che non vuoi includere nel sink.
Fai clic su Crea sink.
Nella console Google Cloud, vai a Logging > Router log.
Fai clic su Crea sink.

Configura un feed in Google SecOps per importare i log di Cloud IoT

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log IoT di Google Cloud.
Seleziona Google Cloud Storage come Tipo di origine.
Seleziona Cloud IoT di Google Cloud come Tipo di log.
Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione in formato gs://my-bucket/<value>.
- URI è: seleziona Directory che include sottodirectory.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
  
  Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate all'account di servizio.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
insertId	metadata.product_log_id	Mappato direttamente dal campo `insertId`.
jsonPayload.eventType	metadata.product_event_type	Mappato direttamente dal campo `jsonPayload.eventType`.
jsonPayload.protocol	network.application_protocol	Mappato direttamente dal campo `jsonPayload.protocol`.
jsonPayload.serviceName	target.application	Mappato direttamente dal campo `jsonPayload.serviceName`.
jsonPayload.status.description	metadata.description	Mappato direttamente dal campo `jsonPayload.status.description`.
jsonPayload.status.message	security_result.description	Mappato direttamente dal campo `jsonPayload.status.message`.
labels.device_id	principal.asset_id	Il valore è impostato su `Device ID:` concatenato con il valore del campo `labels.device_id`.
receiveTimestamp	metadata.event_timestamp	Analizzata dal campo `receiveTimestamp` e utilizzata per compilare sia `events.timestamp` che `metadata.event_timestamp`.
resource.labels.device_num_id	target.resource.product_object_id	Mappato direttamente dal campo `resource.labels.device_num_id`.
resource.labels.location	target.location.name	Mappato direttamente dal campo `resource.labels.location`.
resource.labels.project_id	target.resource.name	Mappato direttamente dal campo `resource.labels.project_id`.
resource.type	target.resource.resource_subtype	Mappato direttamente dal campo `resource.type`.
gravità	security_result.severity	Mappato dal campo `severity` in base alla seguente logica: : se `severity` è `DEFAULT`, `DEBUG`, `INFO` o `NOTICE`, `security_result.severity` viene impostato su `INFORMATIONAL`. : se `severity` è `WARNING` o `ERROR`, `security_result.severity` viene impostato su `MEDIUM`. : se `severity` è `CRITICAL`, `ALERT` o `EMERGENCY`, `security_result.severity` viene impostato su `HIGH`.
N/D	metadata.log_type	Hardcoded a `GCP_CLOUDIOT`.
N/D	metadata.vendor_name	Hardcoded a `Google Cloud Platform`.
N/D	metadata.event_type	Hardcoded a `GENERIC_EVENT`.
N/D	metadata.product_name	Hardcoded a `GCP_CLOUDIOT`.

Modifiche

2022-06-06

Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.