Collecter les journaux d'observation de Cloud Security Command Center

Compatible avec:

Ce document explique comment exporter et ingérer les journaux d'observation de Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les données JSON brutes en modèle de données unifié (UDM). Il normalise la structure des données, gère les variations potentielles de l'entrée, puis extrait et met en correspondance les champs pertinents avec le schéma UDM, enrichissant les données avec un contexte et des indicateurs supplémentaires pour l'analyse en aval.

Avant de commencer

  • Assurez-vous que Google Cloud Security Command Center est activé et configuré dans votre Google Cloud environnement.
  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous d'avoir un accès privilégié à Security Command Center et à Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets. Par exemple, gcp-scc-observation-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer la journalisation de Security Command Center

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Security Command Center.

    Accéder à Security Command Center

  3. Sélectionnez votre organisation.

  4. Cliquez sur Paramètres.

  5. Cliquez sur l'onglet Exportations continues.

  6. Sous Nom de l'exportation, cliquez sur Exportation des journaux.

  7. Sous Récepteurs, activez l'option Consigner les résultats dans Logging.

  8. Sous Projet de journalisation, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

  9. Cliquez sur Enregistrer.

Configurer Google Cloud l'exportation des journaux d'observation Security Command Center

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, scc-observation-logs-sink).
    • Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-observation-logs).

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations"
resource.type="security_command_center_observation"
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings"
 resource.type="security_center_findings"

    • Définir les options d'exportation: inclut toutes les entrées de journal.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurez un flux dans Google SecOps pour ingérer les Google Cloud journaux d'observation de Security Command Center

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux. Par exemple, Google Cloud Journaux d'observation de Security Command Center.
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Observation de Security Command Center comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-scc-observation-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
access.callerIp read_only_udm.principal.ip Mappage direct.
access.callerIpGeo.regionCode read_only_udm.principal.location.country_or_region Mappage direct.
access.methodName read_only_udm.additional.fields.value.string_value Mappage direct. Correspond également à read_only_udm.target.labels.value.
access.principalEmail read_only_udm.principal.user.email_addresses Mappage direct.
access.principalSubject read_only_udm.principal.user.attribute.labels.value Mappage direct.
assetDisplayName read_only_udm.target.resource.attribute.labels.value Mappage direct.
assetId read_only_udm.target.asset.asset_id La valeur après assets/ est extraite du champ assetId et mappée en tant que AssetID:<extracted_value>.
category read_only_udm.metadata.product_event_type Mappage direct.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Mappage direct. L'objet about peut se répéter plusieurs fois en fonction du nombre de contacts. Le champ roles.name est défini sur Security pour ce champ.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Mappage direct. L'objet about peut se répéter plusieurs fois en fonction du nombre de contacts. Le champ roles.name est défini sur Technical pour ce champ.
Date et heure de création read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur createTime pour ce champ.
eventTime read_only_udm.metadata.event_timestamp Converti au format d'horodatage.
externalUri read_only_udm.about.url Mappage direct.
findingClass read_only_udm.security_result.category_details Mappage direct.
findingProviderId read_only_udm.target.resource.attribute.labels.value Mappage direct.
mitreAttack.primaryTactic read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur primary_tactic pour ce champ.
mitreAttack.primaryTechniques read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction du nombre de techniques. Le champ key est défini sur primary_technique pour ce champ.
mute read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur mute pour ce champ.
nom read_only_udm.metadata.product_log_id Mappage direct.
parentDisplayName read_only_udm.metadata.description Mappage direct.
resource.display_name read_only_udm.target.resource.attribute.labels.value Mappage direct.
resource.name read_only_udm.target.resource.name, read_only_udm.principal.resource.name Mappage direct. Lorsque ce champ est utilisé pour renseigner le champ principal.resource.name, l'analyseur vérifie si resource.project_name est vide. Si elle n'est pas vide, resource.project_name est utilisé à la place.
resource.parent_display_name read_only_udm.target.resource.attribute.labels.value Mappage direct.
resource.parent_name read_only_udm.target.resource.attribute.labels.value Mappage direct.
resource.project_display_name read_only_udm.target.resource.attribute.labels.value Mappage direct.
resource.project_name read_only_udm.target.resource.attribute.labels.value Mappage direct.
resource.type read_only_udm.target.resource.attribute.labels.value Mappage direct.
resourceName read_only_udm.target.resource.name Mappage direct.
securityMarks.name read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur securityMarks_name pour ce champ.
de gravité, read_only_udm.security_result.severity, read_only_udm.security_result.priority_details Mappage direct.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Mappage direct.
sourceProperties.contextUris.mitreUri.displayName read_only_udm.security_result.detection_fields.key Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles.
sourceProperties.contextUris.mitreUri.url read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles.
sourceProperties.detectionCategory.ruleName read_only_udm.security_result.rule_name Mappage direct.
sourceProperties.detectionCategory.subRuleName read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur sourceProperties_detectionCategory_subRuleName pour ce champ.
sourceProperties.detectionPriority read_only_udm.security_result.priority_details Mappage direct.
sourceProperties.findingId read_only_udm.target.resource.attribute.labels.value Mappage direct.
state read_only_udm.security_result.detection_fields.value Mappage direct. L'objet detection_fields peut se répéter plusieurs fois en fonction des champs disponibles. Le champ key est défini sur state pour ce champ.
N/A is_alert Défini sur "True" si l'analyse du journal a réussi.
N/A is_significant Défini sur "True" si l'analyse du journal a réussi.
N/A read_only_udm.metadata.log_type Codé en dur sur GCP_SECURITYCENTER_OBSERVATION.
N/A read_only_udm.metadata.product_name Codé en dur sur Security Command Center.
N/A read_only_udm.metadata.vendor_name Codé en dur sur Google.
N/A read_only_udm.principal.user.account_type Définissez cette valeur sur CLOUD_ACCOUNT_TYPE si l'adresse e-mail principale est présente.
N/A read_only_udm.security_result.alert_state Codé en dur sur ALERTING.
N/A read_only_udm.security_result.priority Définissez la valeur sur LOW_PRIORITY si la gravité est LOW.
N/A read_only_udm.target.application Extrait du champ resourceName.
N/A read_only_udm.target.resource.product_object_id Extrait du champ parent.
N/A read_only_udm.target.resource.resource_type Défini sur CLUSTER par défaut. Définissez cette valeur sur VIRTUAL_MACHINE si la catégorie est Impact: GPU Instance Created ou Impact: Many Instances Created. Défini sur SETTING si la catégorie est Persistence: Add Sensitive Role.
N/A read_only_udm.target.resource_ancestors.name Extrait des champs parent et resourceName.
N/A read_only_udm.target.resource_ancestors.product_object_id Extrait des champs parent, resource.project_name et resourceName.
N/A read_only_udm.target.resource_ancestors.resource_type Définissez cette valeur sur CLOUD_PROJECT si resource.type est google.compute.Project.
N/A read_only_udm.target.labels.key La valeur est définie sur access_methodName si access.methodName est présent.
N/A read_only_udm.target.labels.value La valeur est définie à partir de access.methodName.
N/A read_only_udm.target.resource.attribute.labels.key La clé est définie sur l'une des valeurs suivantes en fonction du champ disponible: resource_parentDisplayName, resource_type, resource_parentName, resource_projectDisplayName, resource_displayName, finding_id, source_id, FindingProviderId, sourceDisplayName, asset_display_name.
N/A read_only_udm.target.resource.attribute.labels.value La valeur est définie à partir de l'un des champs suivants, en fonction du champ disponible: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName, assetDisplayName.

Modifications

2023-11-29

  • Correction d'une incohérence dans la gestion des noms d'hôte dans l'analyseur.

2023-05-02

  • Nous nous sommes assurés que le champ security_result.url_back_to_product contient désormais une adresse Web correctement formatée.

2023-04-12

  • Mise à jour de l'analyseur GCP_SECURITYCENTER_OBSERVATION par défaut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.