Coletar registros do Cloud IoT
Este guia explica como exportar registros do Cloud IoT para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros formatados em JSON e os mapeia para os campos correspondentes no esquema do UDM do Google SecOps, transformando os dados brutos em um formato estruturado adequado para análise de segurança.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se o Cloud IoT está configurado e ativado no seu Google Cloud ambiente.
- Verifique se você tem acesso privilegiado a Google Cloud.
Crie um bucket do Google Cloud Storage
- Faça login no console do Google Cloud.
Acesse a página Buckets do Cloud Storage.
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:
Na seção Começar, faça o seguinte:
- Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, cloudiot-logs.
Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
Na seção Escolha onde armazenar seus dados, faça o seguinte:
- Selecione um tipo de local.
Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
Na seção Escolha como proteger os dados do objeto, faça o seguinte:
- Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
- Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.
Clique em Criar.
Configurar a exportação de registros no Cloud IoT
- Faça login na conta do Google Cloud usando sua conta privilegiada.
- Pesquise e selecione Registro na barra de pesquisa.
- No Log Explorer, filtre os registros escolhendo Cloud IoT Core e clique em Aplicar.
- Clique em Mais ações.
- Clique em Criar coletor.
- Forneça as seguintes configurações:
- Detalhes do coletor: insira um nome e uma descrição.
- Clique em Próxima.
- Destino do coletor: selecione Bucket do Cloud Storage.
- Bucket do Cloud Storage: selecione o bucket criado anteriormente ou crie um novo.
- Clique em Próxima.
- Escolher os registros a serem incluídos no coletor: um registro padrão é preenchido quando você seleciona uma opção no bucket do Cloud Storage.
- Clique em Próxima.
- Opcional: Escolher registros para excluir do coletor: selecione os registros que você não quer enviar para o coletor.
Clique em Criar coletor.
No Console do GCP, acesse Logging > Roteador de registros.
Clique em Criar coletor.
Configurar um feed no Google SecOps para processar registros da IoT do Cloud
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed, por exemplo, GCP Cloud IoT Logs.
- Selecione Google Cloud Storage como o Tipo de origem.
- Selecione GCP Cloud IoT como o Tipo de registro.
- Clique em Pegar conta de serviço como a Conta de serviço do Chronicle.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket do Cloud Storage: Google Cloud URL do bucket do Cloud Storage no formato
gs://my-bucket/<value>
. - URI Is A: selecione Directory which includes subdirectories.
Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
Namespace de recursos: o namespace de recursos.
Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- URI do bucket do Cloud Storage: Google Cloud URL do bucket do Cloud Storage no formato
Clique em Próxima.
Revise a configuração do novo feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
insertId | metadata.product_log_id | Mapeado diretamente do campo insertId . |
jsonPayload.eventType | metadata.product_event_type | Mapeado diretamente do campo jsonPayload.eventType . |
jsonPayload.protocol | network.application_protocol | Mapeado diretamente do campo jsonPayload.protocol . |
jsonPayload.serviceName | target.application | Mapeado diretamente do campo jsonPayload.serviceName . |
jsonPayload.status.description | metadata.description | Mapeado diretamente do campo jsonPayload.status.description . |
jsonPayload.status.message | security_result.description | Mapeado diretamente do campo jsonPayload.status.message . |
labels.device_id | principal.asset_id | O valor é definido como Device ID: concatenado com o valor do campo labels.device_id . |
receiveTimestamp | metadata.event_timestamp | Analisado do campo receiveTimestamp e usado para preencher events.timestamp e metadata.event_timestamp . |
resource.labels.device_num_id | target.resource.product_object_id | Mapeado diretamente do campo resource.labels.device_num_id . |
resource.labels.location | target.location.name | Mapeado diretamente do campo resource.labels.location . |
resource.labels.project_id | target.resource.name | Mapeado diretamente do campo resource.labels.project_id . |
resource.type | target.resource.resource_subtype | Mapeado diretamente do campo resource.type . |
gravidade, | security_result.severity | Mapeado do campo severity com base na seguinte lógica:: se severity for DEFAULT , DEBUG , INFO ou NOTICE , security_result.severity será definido como INFORMATIONAL .: se severity for WARNING ou ERROR , security_result.severity será definido como MEDIUM .: se severity for CRITICAL , ALERT ou EMERGENCY , security_result.severity será definido como HIGH . |
N/A | metadata.log_type | Fixado em GCP_CLOUDIOT . |
N/A | metadata.vendor_name | Fixado em Google Cloud Platform . |
N/A | metadata.event_type | Fixado em GENERIC_EVENT . |
N/A | metadata.product_name | Fixado em GCP_CLOUDIOT . |
Alterações
2022-06-06
- Parser recém-criado.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.