收集 Cloud Next Generation Firewall 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Cloud,將 Cloud NGFW 記錄匯出及擷取至 Google Security Operations。剖析器會從 Google Cloud 防火牆記錄中擷取欄位,並轉換及對應至 UDM。這個函式會處理各種記錄檔欄位,包括連線詳細資料、威脅資訊、規則詳細資料和網路資訊,並根據 action 和 direction 欄位執行資料類型轉換、重新命名和條件邏輯,正確填入 UDM 模型。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Cloud NGFW 已在 Google Cloud 環境中啟用及設定。
- 具備 Google Cloud 特殊存取權,以及存取 Cloud NGFW 記錄的適當權限。
建立 Cloud Storage 值區
- 登入Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分,執行下列操作:
- 輸入符合值區名稱規定的專屬名稱,例如 gcp-ngfw-logs。
如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中,完成下列步驟:
- 選取「位置類型」。
使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取 bucket 的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理 bucket 資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」以強制執行禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,請執行下列操作:
- 選取「資料保護」下方的任何選項,為 bucket 設定資料保護措施。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
設定 Cloud NGFW 記錄匯出
- 登入Google Cloud 控制台。
- 依序前往「Logging」>「Log Router」。
- 按一下「建立接收器」。
提供下列設定參數:
- 接收器名稱:輸入有意義的名稱,例如
NGFW-Export-Sink。 - 接收器目的地:選取「Google Cloud Storage」,然後輸入值區的 URI,例如
gs://gcp-ngfw-logs/。 記錄檔篩選器:
logName="projects/<your-project-id>/logs/gcp-firewall"
- 接收器名稱:輸入有意義的名稱,例如
點選「建立」。
設定 Cloud Storage 的權限
- 前往「IAM 與管理」>「IAM」。
- 找到 Cloud Logging 服務帳戶。
- 授予值區的 roles/storage.admin。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM Settings」>「Feeds」>「Add New Feed」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 Google Cloud NGFW Enterprise 動態饋給
- 按一下「Google Cloud Compute platform」套件。
- 找出 GCP NGFW Enterprise 記錄類型。
- 點選「下一步」。
為下列欄位指定值:
- 來源類型:Google Cloud Storage V2
- 儲存空間值區 URI:儲存空間值區網址,例如
gs://gcp-ngfw-logs/。 Google Cloud 這個網址的結尾必須是正斜線 (/)。 來源刪除選項:根據偏好選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
按一下「Chronicle 服務帳戶」欄位旁的「取得服務帳戶」。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
insertId |
metadata.product_log_id |
直接對應 insertId 欄位。 |
jsonPayload.action |
security_result.action_details |
直接對應 jsonPayload.action 欄位。 |
jsonPayload.connection.clientIp |
principal.asset.ip |
直接對應 jsonPayload.connection.clientIp 欄位。 |
jsonPayload.connection.clientIp |
principal.ip |
直接對應 jsonPayload.connection.clientIp 欄位。 |
jsonPayload.connection.clientPort |
principal.port |
直接從 jsonPayload.connection.clientPort 欄位對應,並轉換為整數。 |
jsonPayload.connection.protocol |
network.ip_protocol |
對應自 jsonPayload.connection.protocol。如果值為 tcp,UDM 欄位會設為 TCP。udp、icmp 和 igmp 也比照完成同樣的處理。 |
jsonPayload.connection.serverIp |
target.asset.ip |
直接對應 jsonPayload.connection.serverIp 欄位。 |
jsonPayload.connection.serverIp |
target.ip |
直接對應 jsonPayload.connection.serverIp 欄位。 |
jsonPayload.connection.serverPort |
target.port |
直接從 jsonPayload.connection.serverPort 欄位對應,並轉換為整數。 |
jsonPayload.interceptVpc.projectId |
security_result.rule_labels |
從 jsonPayload.interceptVpc.projectId 對應,金鑰為 rule_details_projectId。 |
jsonPayload.interceptVpc.vpc |
security_result.rule_labels |
從 jsonPayload.interceptVpc.vpc 對應,金鑰為 rule_details_vpc_network。 |
jsonPayload.securityProfileGroupDetails.securityProfileGroupId |
security_result.rule_labels |
從 jsonPayload.securityProfileGroupDetails.securityProfileGroupId 對應,金鑰為 rule_details_security_profile_group。 |
jsonPayload.securityProfileGroupDetails.securityProfileGroupId |
security_result.rule_labels |
從 jsonPayload.securityProfileGroupDetails.securityProfileGroupId 對應,金鑰為 rule_details_securityProfileGroupDetails_id。 |
jsonPayload.threatDetails.category |
security_result.rule_labels |
從 jsonPayload.threatDetails.category 對應,金鑰為 rule_details_category。 |
jsonPayload.threatDetails.direction |
security_result.rule_labels |
從 jsonPayload.threatDetails.direction 對應,金鑰為 rule_details_direction。 |
jsonPayload.threatDetails.id |
security_result.threat_id |
直接對應 jsonPayload.threatDetails.id 欄位。 |
jsonPayload.threatDetails.severity |
security_result.severity |
對應自 jsonPayload.threatDetails.severity。 如果值為 CRITICAL,UDM 欄位會設為 CRITICAL。HIGH、MEDIUM、LOW 和 INFO 也適用類似的邏輯。 |
jsonPayload.threatDetails.threat |
security_result.threat_name |
直接對應 jsonPayload.threatDetails.threat 欄位。 |
jsonPayload.threatDetails.type |
security_result.rule_labels |
從 jsonPayload.threatDetails.type 對應,金鑰為 rule_details_threat_type。 |
jsonPayload.threatDetails.uriOrFilename |
security_result.rule_labels |
從 jsonPayload.threatDetails.uriOrFilename 對應,金鑰為 rule_details_uriOrFilename。 |
logName |
metadata.product_event_type |
直接對應 logName 欄位。 |
metadata.collected_timestamp |
metadata.collected_timestamp |
直接從 receiveTimestamp 欄位對應,並使用指定的日期格式剖析。 |
metadata.event_type |
metadata.event_type |
如果同時存在 principal_ip 和 target_ip,則設為 NETWORK_CONNECTION。如果只有 principal_ip,請設為 STATUS_UNCATEGORIZED。否則請設為 GENERIC_EVENT。 |
metadata.product_name |
metadata.product_name |
硬式編碼為 GCP Firewall。 |
metadata.vendor_name |
metadata.vendor_name |
硬式編碼為 Google Cloud Platform。 |
receiveTimestamp |
metadata.collected_timestamp |
直接對應 receiveTimestamp 欄位。 |
security_result.action |
security_result.action |
衍生自「jsonPayload.action」欄位。根據 jsonPayload.action 的值,對應至 ALLOW、BLOCK 或 UNKNOWN_ACTION。 |
timestamp |
metadata.event_timestamp |
直接對應 timestamp 欄位。 |
timestamp |
timestamp |
直接對應 timestamp 欄位。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。