Cloud Next Generation Firewall Enterprise-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloud NGFW Enterprise-Logs mithilfe von Google Cloudin Google Security Operations exportieren und aufnehmen. Der Parser extrahiert Felder aus Google Cloud Firewall-Logs, transformiert sie und ordnet sie dem UDM zu. Es verarbeitet verschiedene Protokollfelder, einschließlich Verbindungsdetails, Bedrohungsinformationen, Regeldetails und Netzwerkinformationen. Dabei werden Datentypkonvertierungen, Umbenennungen und bedingte Logik basierend auf den Feldern action und direction durchgeführt, um das UDM-Modell korrekt zu füllen.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Cloud NGFW Enterprise muss in Ihrer Umgebung aktiv und konfiguriert sein. Google Cloud
  • Sie benötigen Lesezugriff auf Google Cloud und die entsprechenden Berechtigungen für den Zugriff auf Cloud NGFW Enterprise-Logs.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-ngfw-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Export von Cloud NGFW-Logs konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. NGFW-Export-Sink.
    • Sink-Ziel: Wählen Sie Google Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-ngfw-logs.

    • Log-Filter:

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Feed in Google SecOps für die Aufnahme von Cloud NGFW Enterprise-Protokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. GCP NGFW Enterprise Logs.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie GCP NGFW Enterprise als Logtyp aus.
  6. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Google Cloud URL des Storage Buckets, z. B. gs://gcp-ngfw-logs.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

    • Asset-Namespace: der Asset-Namespace.

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
insertId metadata.product_log_id Direkt aus dem Feld insertId zugeordnet.
jsonPayload.action security_result.action_details Direkt aus dem Feld jsonPayload.action zugeordnet.
jsonPayload.connection.clientIp principal.asset.ip Direkt aus dem Feld jsonPayload.connection.clientIp zugeordnet.
jsonPayload.connection.clientIp principal.ip Direkt aus dem Feld jsonPayload.connection.clientIp zugeordnet.
jsonPayload.connection.clientPort principal.port Wird direkt aus dem Feld jsonPayload.connection.clientPort zugeordnet und in eine Ganzzahl konvertiert.
jsonPayload.connection.protocol network.ip_protocol Zugewiesen von jsonPayload.connection.protocol. Wenn der Wert tcp ist, wird das UDM-Feld auf TCP gesetzt. Ähnliches gilt für udp, icmp und igmp.
jsonPayload.connection.serverIp target.asset.ip Direkt aus dem Feld jsonPayload.connection.serverIp zugeordnet.
jsonPayload.connection.serverIp target.ip Direkt aus dem Feld jsonPayload.connection.serverIp zugeordnet.
jsonPayload.connection.serverPort target.port Wird direkt aus dem Feld jsonPayload.connection.serverPort zugeordnet und in eine Ganzzahl konvertiert.
jsonPayload.interceptVpc.projectId security_result.rule_labels Zugeordnet von jsonPayload.interceptVpc.projectId mit Schlüssel rule_details_projectId.
jsonPayload.interceptVpc.vpc security_result.rule_labels Zugeordnet von jsonPayload.interceptVpc.vpc mit Schlüssel rule_details_vpc_network.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Zugeordnet von jsonPayload.securityProfileGroupDetails.securityProfileGroupId mit Schlüssel rule_details_security_profile_group.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Zugeordnet von jsonPayload.securityProfileGroupDetails.securityProfileGroupId mit Schlüssel rule_details_securityProfileGroupDetails_id.
jsonPayload.threatDetails.category security_result.rule_labels Zugeordnet von jsonPayload.threatDetails.category mit Schlüssel rule_details_category.
jsonPayload.threatDetails.direction security_result.rule_labels Zugeordnet von jsonPayload.threatDetails.direction mit Schlüssel rule_details_direction.
jsonPayload.threatDetails.id security_result.threat_id Direkt aus dem Feld jsonPayload.threatDetails.id zugeordnet.
jsonPayload.threatDetails.severity security_result.severity Zugewiesen von jsonPayload.threatDetails.severity. Wenn der Wert CRITICAL ist, wird das UDM-Feld auf CRITICAL gesetzt. Ähnliches gilt für HIGH, MEDIUM, LOW und INFO.
jsonPayload.threatDetails.threat security_result.threat_name Direkt aus dem Feld jsonPayload.threatDetails.threat zugeordnet.
jsonPayload.threatDetails.type security_result.rule_labels Zugeordnet von jsonPayload.threatDetails.type mit Schlüssel rule_details_threat_type.
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels Zugeordnet von jsonPayload.threatDetails.uriOrFilename mit Schlüssel rule_details_uriOrFilename.
logName metadata.product_event_type Direkt aus dem Feld logName zugeordnet.
metadata.collected_timestamp metadata.collected_timestamp Wird direkt aus dem Feld receiveTimestamp zugeordnet und mit dem angegebenen Datumsformat geparst.
metadata.event_type metadata.event_type Wird auf NETWORK_CONNECTION gesetzt, wenn sowohl principal_ip als auch target_ip vorhanden sind. Wird auf STATUS_UNCATEGORIZED gesetzt, wenn nur principal_ip vorhanden ist. Andernfalls setzen Sie GENERIC_EVENT.
metadata.product_name metadata.product_name Hartcodiert auf GCP Firewall.
metadata.vendor_name metadata.vendor_name Hartcodiert auf Google Cloud Platform.
receiveTimestamp metadata.collected_timestamp Direkt aus dem Feld receiveTimestamp zugeordnet.
security_result.action security_result.action Abgeleitet aus dem Feld jsonPayload.action. Wird basierend auf dem Wert von jsonPayload.action auf ALLOW, BLOCK oder UNKNOWN_ACTION zugeordnet.
timestamp metadata.event_timestamp Direkt aus dem Feld timestamp zugeordnet.
timestamp timestamp Direkt aus dem Feld timestamp zugeordnet.

Änderungen

2024-04-16

  • Die Zuordnung von alert_severity wurde von jsonPayload.alert_severity zu jsonPayload.threatDetails.severity geändert.
  • Die Zuordnung von threat_id wurde von jsonPayload.threat_id zu jsonPayload.threatDetails.id geändert.
  • Die Zuordnung von rdspg wurde von jsonPayload.security_profile_group zu jsonPayload.securityProfileGroupDetails.securityProfileGroupId geändert.
  • Die Zuordnung von rduri wurde von jsonPayload.uri_or_filename zu jsonPayload.threatDetails.uriOrFilename geändert.
  • Zuordnung von jsonPayload.rule_details.priority, jsonPayload.rule_details.apply_security_profile_fallback_action, jsonPayload.rule_details.source_range und jsonPayload.rule_details.target_secure_tag entfernt

2024-03-26

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten