Coletar registros do Cloud IoT

Compatível com:

Este guia explica como exportar registros do Cloud IoT para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros formatados em JSON e os mapeia para os campos correspondentes no esquema do UDM do Google SecOps, transformando os dados brutos em um formato estruturado adequado para análise de segurança.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se o Cloud IoT está configurado e ativado no seu Google Cloud ambiente.
  • Verifique se você tem acesso privilegiado a Google Cloud.

Crie um bucket do Google Cloud Storage

  1. Faça login no console do Google Cloud.
  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, cloudiot-logs.
      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.
      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.
  5. Clique em Criar.

Configurar a exportação de registros no Cloud IoT

  1. Faça login na conta do Google Cloud usando sua conta privilegiada.
  2. Pesquise e selecione Registro na barra de pesquisa.
  3. No Log Explorer, filtre os registros escolhendo Cloud IoT Core e clique em Aplicar.
  4. Clique em Mais ações.
  5. Clique em Criar coletor.
  6. Forneça as seguintes configurações:
    1. Detalhes do coletor: insira um nome e uma descrição.
    2. Clique em Próxima.
    3. Destino do coletor: selecione Bucket do Cloud Storage.
    4. Bucket do Cloud Storage: selecione o bucket criado anteriormente ou crie um novo.
    5. Clique em Próxima.
    6. Escolher os registros a serem incluídos no coletor: um registro padrão é preenchido quando você seleciona uma opção no bucket do Cloud Storage.
    7. Clique em Próxima.
    8. Opcional: Escolher registros para excluir do coletor: selecione os registros que você não quer enviar para o coletor.
  7. Clique em Criar coletor.

  8. No Console do GCP, acesse Logging > Roteador de registros.

  9. Clique em Criar coletor.

Configurar um feed no Google SecOps para processar registros da IoT do Cloud

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed, por exemplo, GCP Cloud IoT Logs.
  4. Selecione Google Cloud Storage como o Tipo de origem.
  5. Selecione GCP Cloud IoT como o Tipo de registro.
  6. Clique em Pegar conta de serviço como a Conta de serviço do Chronicle.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket do Cloud Storage: Google Cloud URL do bucket do Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.
    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.

  9. Clique em Próxima.

  10. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
insertId metadata.product_log_id Mapeado diretamente do campo insertId.
jsonPayload.eventType metadata.product_event_type Mapeado diretamente do campo jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Mapeado diretamente do campo jsonPayload.protocol.
jsonPayload.serviceName target.application Mapeado diretamente do campo jsonPayload.serviceName.
jsonPayload.status.description metadata.description Mapeado diretamente do campo jsonPayload.status.description.
jsonPayload.status.message security_result.description Mapeado diretamente do campo jsonPayload.status.message.
labels.device_id principal.asset_id O valor é definido como Device ID: concatenado com o valor do campo labels.device_id.
receiveTimestamp metadata.event_timestamp Analisado do campo receiveTimestamp e usado para preencher events.timestamp e metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Mapeado diretamente do campo resource.labels.device_num_id.
resource.labels.location target.location.name Mapeado diretamente do campo resource.labels.location.
resource.labels.project_id target.resource.name Mapeado diretamente do campo resource.labels.project_id.
resource.type target.resource.resource_subtype Mapeado diretamente do campo resource.type.
gravidade, security_result.severity Mapeado do campo severity com base na seguinte lógica:
: se severity for DEFAULT, DEBUG, INFO ou NOTICE, security_result.severity será definido como INFORMATIONAL.
: se severity for WARNING ou ERROR, security_result.severity será definido como MEDIUM.
: se severity for CRITICAL, ALERT ou EMERGENCY, security_result.severity será definido como HIGH.
N/A metadata.log_type Fixado em GCP_CLOUDIOT.
N/A metadata.vendor_name Fixado em Google Cloud Platform.
N/A metadata.event_type Fixado em GENERIC_EVENT.
N/A metadata.product_name Fixado em GCP_CLOUDIOT.

Alterações

2022-06-06

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.