Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cloud IoT

Compatível com:

Google SecOps SIEM

Este guia explica como exportar registros do Cloud IoT para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros formatados em JSON e os mapeia para os campos correspondentes no esquema do UDM do Google SecOps, transformando os dados brutos em um formato estruturado adequado para análise de segurança.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se o Cloud IoT está configurado e ativado no seu Google Cloud ambiente.
Verifique se você tem acesso privilegiado a Google Cloud.

Crie um bucket do Google Cloud Storage

Faça login no console do Google Cloud.
Acesse a página Buckets do Cloud Storage.

Acessar buckets
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:
1. Na seção Começar, faça o seguinte:
  1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, cloudiot-logs.
  2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
    
    Observação: não é possível ativar o namespace hierárquico em um bucket atual.
  3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
  4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
2. Na seção Escolha onde armazenar seus dados, faça o seguinte:
  1. Selecione um tipo de local.
  2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
    
    Observação: se você selecionar o tipo de local birregional, também poderá ativar a replicação turbo usando a caixa de seleção relevante.
  3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
  
  Observação: se a prevenção de acesso público já estiver aplicada pela política da organização do projeto, a caixa de seleção Impedir acesso público vai ficar bloqueada.
5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:
  1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
  2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.
Clique em Criar.

Configurar a exportação de registros no Cloud IoT

Faça login na conta do Google Cloud usando sua conta privilegiada.
Pesquise e selecione Registro na barra de pesquisa.
No Log Explorer, filtre os registros escolhendo Cloud IoT Core e clique em Aplicar.
Clique em Mais ações.
Clique em Criar coletor.
Forneça as seguintes configurações:
1. Detalhes do coletor: insira um nome e uma descrição.
2. Clique em Próxima.
3. Destino do coletor: selecione Bucket do Cloud Storage.
4. Bucket do Cloud Storage: selecione o bucket criado anteriormente ou crie um novo.
5. Clique em Próxima.
6. Escolher os registros a serem incluídos no coletor: um registro padrão é preenchido quando você seleciona uma opção no bucket do Cloud Storage.
7. Clique em Próxima.
8. Opcional: Escolher registros para excluir do coletor: selecione os registros que você não quer enviar para o coletor.
Clique em Criar coletor.
No Console do GCP, acesse Logging > Roteador de registros.
Clique em Criar coletor.

Configurar um feed no Google SecOps para processar registros da IoT do Cloud

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed, por exemplo, GCP Cloud IoT Logs.
Selecione Google Cloud Storage como o Tipo de origem.
Selecione GCP Cloud IoT como o Tipo de registro.
Clique em Pegar conta de serviço como a Conta de serviço do Chronicle.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket do Cloud Storage: Google Cloud URL do bucket do Cloud Storage no formato gs://my-bucket/<value>.
- URI Is A: selecione Directory which includes subdirectories.
- Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, confira se concedeu as permissões adequadas à conta de serviço.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
insertId	metadata.product_log_id	Mapeado diretamente do campo `insertId`.
jsonPayload.eventType	metadata.product_event_type	Mapeado diretamente do campo `jsonPayload.eventType`.
jsonPayload.protocol	network.application_protocol	Mapeado diretamente do campo `jsonPayload.protocol`.
jsonPayload.serviceName	target.application	Mapeado diretamente do campo `jsonPayload.serviceName`.
jsonPayload.status.description	metadata.description	Mapeado diretamente do campo `jsonPayload.status.description`.
jsonPayload.status.message	security_result.description	Mapeado diretamente do campo `jsonPayload.status.message`.
labels.device_id	principal.asset_id	O valor é definido como `Device ID:` concatenado com o valor do campo `labels.device_id`.
receiveTimestamp	metadata.event_timestamp	Analisado do campo `receiveTimestamp` e usado para preencher `events.timestamp` e `metadata.event_timestamp`.
resource.labels.device_num_id	target.resource.product_object_id	Mapeado diretamente do campo `resource.labels.device_num_id`.
resource.labels.location	target.location.name	Mapeado diretamente do campo `resource.labels.location`.
resource.labels.project_id	target.resource.name	Mapeado diretamente do campo `resource.labels.project_id`.
resource.type	target.resource.resource_subtype	Mapeado diretamente do campo `resource.type`.
gravidade,	security_result.severity	Mapeado do campo `severity` com base na seguinte lógica: : se `severity` for `DEFAULT`, `DEBUG`, `INFO` ou `NOTICE`, `security_result.severity` será definido como `INFORMATIONAL`. : se `severity` for `WARNING` ou `ERROR`, `security_result.severity` será definido como `MEDIUM`. : se `severity` for `CRITICAL`, `ALERT` ou `EMERGENCY`, `security_result.severity` será definido como `HIGH`.
N/A	metadata.log_type	Fixado em `GCP_CLOUDIOT`.
N/A	metadata.vendor_name	Fixado em `Google Cloud Platform`.
N/A	metadata.event_type	Fixado em `GENERIC_EVENT`.
N/A	metadata.product_name	Fixado em `GCP_CLOUDIOT`.

Alterações

2022-06-06

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.