Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cloud Next Generation Firewall Enterprise

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengekspor dan menyerap log Cloud NGFW Enterprise ke Google Security Operations menggunakan Google Cloud. Parser mengekstrak kolom dari Google Cloud log Firewall, mengubah, dan memetakan kolom tersebut ke UDM. Fungsi ini menangani berbagai kolom log, termasuk detail koneksi, informasi ancaman, detail aturan, dan informasi jaringan, yang melakukan konversi jenis data, penggantian nama, dan logika kondisional berdasarkan kolom action dan direction untuk mengisi model UDM dengan benar.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Cloud NGFW Enterprise aktif dan dikonfigurasi di lingkungan Google Cloud Anda.
Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud dan izin yang sesuai untuk mengakses log Cloud NGFW Enterprise.

Membuat bucket Cloud Storage

Login ke konsol Google Cloud.
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
1. Di bagian Mulai, lakukan tindakan berikut:
  1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-ngfw-logs.
  2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.
    
    Catatan: Anda tidak dapat mengaktifkan namespace hierarkis pada bucket yang ada.
  3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.
  4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:
  1. Pilih Jenis lokasi.
  2. Gunakan menu jenis lokasi untuk memilih Location tempat data objek dalam bucket Anda akan disimpan secara permanen.
    
    Catatan: Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo menggunakan kotak centang yang relevan.
  3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.
3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.
  
  Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:
  1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
  2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.

Mengonfigurasi ekspor log Cloud NGFW

Login ke konsol Google Cloud.
Buka Logging > Router Log.
Klik Create Sink.
Berikan parameter konfigurasi berikut:
- Sink Name: masukkan nama yang bermakna; misalnya, NGFW-Export-Sink.
- Sink Destination: pilih Google Cloud Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-ngfw-logs.
- Filter Log:
```
logName="projects/<your-project-id>/logs/gcp-firewall"
```
Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

Buka IAM & Admin > IAM.
Temukan akun layanan Cloud Logging.
Berikan roles/storage.admin di bucket.

Mengonfigurasi feed di Google SecOps untuk menyerap log Cloud NGFW Enterprise

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Enterprise NGFW GCP.
Pilih Google Cloud Storage sebagai Source type.
Pilih GCP NGFW Enterprise sebagai Jenis log.
Klik Dapatkan Akun Layanan di samping kolom Chronicle Service Account.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Storage Bucket URI: Google Cloud URL bucket penyimpanan; misalnya, gs://gcp-ngfw-logs.
- URI Adalah: Pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda telah memberikan izin yang sesuai ke akun layanan.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Perubahan

2024-04-16

Mengubah pemetaan alert_severity dari jsonPayload.alert_severity menjadi jsonPayload.threatDetails.severity.
Mengubah pemetaan threat_id dari jsonPayload.threat_id menjadi jsonPayload.threatDetails.id.
Mengubah pemetaan rdspg dari jsonPayload.security_profile_group menjadi jsonPayload.securityProfileGroupDetails.securityProfileGroupId.
Mengubah pemetaan rduri dari jsonPayload.uri_or_filename menjadi jsonPayload.threatDetails.uriOrFilename.
Menghapus pemetaan jsonPayload.rule_details.priority, jsonPayload.rule_details.apply_security_profile_fallback_action, jsonPayload.rule_details.source_range, dan jsonPayload.rule_details.target_secure_tag.

2024-03-26

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.

Kolom Log	Pemetaan UDM	Logika
`insertId`	`metadata.product_log_id`	Dipetakan langsung dari kolom `insertId`.
`jsonPayload.action`	`security_result.action_details`	Dipetakan langsung dari kolom `jsonPayload.action`.
`jsonPayload.connection.clientIp`	`principal.asset.ip`	Dipetakan langsung dari kolom `jsonPayload.connection.clientIp`.
`jsonPayload.connection.clientIp`	`principal.ip`	Dipetakan langsung dari kolom `jsonPayload.connection.clientIp`.
`jsonPayload.connection.clientPort`	`principal.port`	Dipetakan langsung dari kolom `jsonPayload.connection.clientPort` dan dikonversi menjadi bilangan bulat.
`jsonPayload.connection.protocol`	`network.ip_protocol`	Dipetakan dari `jsonPayload.connection.protocol`. Jika nilainya `tcp`, kolom UDM akan ditetapkan ke `TCP`. Logika serupa berlaku untuk `udp`, `icmp`, dan `igmp`.
`jsonPayload.connection.serverIp`	`target.asset.ip`	Dipetakan langsung dari kolom `jsonPayload.connection.serverIp`.
`jsonPayload.connection.serverIp`	`target.ip`	Dipetakan langsung dari kolom `jsonPayload.connection.serverIp`.
`jsonPayload.connection.serverPort`	`target.port`	Dipetakan langsung dari kolom `jsonPayload.connection.serverPort` dan dikonversi menjadi bilangan bulat.
`jsonPayload.interceptVpc.projectId`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.interceptVpc.projectId` dengan kunci `rule_details_projectId`.
`jsonPayload.interceptVpc.vpc`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.interceptVpc.vpc` dengan kunci `rule_details_vpc_network`.
`jsonPayload.securityProfileGroupDetails.securityProfileGroupId`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.securityProfileGroupDetails.securityProfileGroupId` dengan kunci `rule_details_security_profile_group`.
`jsonPayload.securityProfileGroupDetails.securityProfileGroupId`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.securityProfileGroupDetails.securityProfileGroupId` dengan kunci `rule_details_securityProfileGroupDetails_id`.
`jsonPayload.threatDetails.category`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.threatDetails.category` dengan kunci `rule_details_category`.
`jsonPayload.threatDetails.direction`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.threatDetails.direction` dengan kunci `rule_details_direction`.
`jsonPayload.threatDetails.id`	`security_result.threat_id`	Dipetakan langsung dari kolom `jsonPayload.threatDetails.id`.
`jsonPayload.threatDetails.severity`	`security_result.severity`	Dipetakan dari `jsonPayload.threatDetails.severity`. Jika nilainya `CRITICAL`, kolom UDM akan ditetapkan ke `CRITICAL`. Logika serupa berlaku untuk `HIGH`, `MEDIUM`, `LOW`, dan `INFO`.
`jsonPayload.threatDetails.threat`	`security_result.threat_name`	Dipetakan langsung dari kolom `jsonPayload.threatDetails.threat`.
`jsonPayload.threatDetails.type`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.threatDetails.type` dengan kunci `rule_details_threat_type`.
`jsonPayload.threatDetails.uriOrFilename`	`security_result.rule_labels`	Dipetakan dari `jsonPayload.threatDetails.uriOrFilename` dengan kunci `rule_details_uriOrFilename`.
`logName`	`metadata.product_event_type`	Dipetakan langsung dari kolom `logName`.
`metadata.collected_timestamp`	`metadata.collected_timestamp`	Dipetakan langsung dari kolom `receiveTimestamp` dan diuraikan menggunakan format tanggal yang ditentukan.
`metadata.event_type`	`metadata.event_type`	Tetapkan ke `NETWORK_CONNECTION` jika `principal_ip` dan `target_ip` ada. Tetapkan ke `STATUS_UNCATEGORIZED` jika hanya `principal_ip` yang ada. Jika tidak, tetapkan ke `GENERIC_EVENT`.
`metadata.product_name`	`metadata.product_name`	Di-hardcode ke `GCP Firewall`.
`metadata.vendor_name`	`metadata.vendor_name`	Di-hardcode ke `Google Cloud Platform`.
`receiveTimestamp`	`metadata.collected_timestamp`	Dipetakan langsung dari kolom `receiveTimestamp`.
`security_result.action`	`security_result.action`	Berasal dari kolom `jsonPayload.action`. Dipetakan ke `ALLOW`, `BLOCK`, atau `UNKNOWN_ACTION` berdasarkan nilai `jsonPayload.action`.
`timestamp`	`metadata.event_timestamp`	Dipetakan langsung dari kolom `timestamp`.
`timestamp`	`timestamp`	Dipetakan langsung dari kolom `timestamp`.