使用 Asset 命名空间
在 Google Security Operations 中搜索资产时(例如使用 IP 地址或主机名搜索),您可以看到与该资产相关联的所有活动。有时,有多个资产与同一 IP 地址或主机名相关联(例如,来自不同网段上重叠的 RFC 1918 IP 地址分配)。
利用资产命名空间功能,您可以对共用一个通用网络环境或命名空间的各类资产进行分类,然后根据资产的命名空间在 Google 安全操作界面中搜索这些资产。例如,您可以为云网络、公司与生产细分、合并和收购网络等创建命名空间。
为数据创建命名空间并为其分配命名空间
所有资产都有一个自动定义或手动配置的命名空间。如果日志中未提供任何命名空间,则默认命名空间会与在 Google 安全操作界面中标记为“未标记”的资产关联。在支持命名空间之前注入 Google 安全运维套件的日志会隐式标记为默认或未标记的命名空间的一部分。
您可以使用以下方式配置命名空间:
- Linux 版的 Google Security Operations Forwarder。
- 部分标准化解析器(例如 Google Cloud 的)可以自动填充命名空间(对于 Google Cloud,根据项目和 VPC 标识符填充)。
- Google Security Operations Ingestion API。
- Google Security Operations Feeds 管理。
Google Security Operations 界面中的命名空间
您会在整个 Google 安全操作界面中看到附加到您的资产的命名空间,尤其是当有资产列表时,其中包括:
- UDM 搜索
- 原始日志扫描
- 企业数据分析
- 检测视图
搜索栏
使用搜索栏时,系统会显示与每项素材资源关联的命名空间。选择特定命名空间内的某项资源会在“资源”视图中打开该资源,从而显示与同一命名空间相关联的其他 activity。
任何与命名空间没有关联的资产都将分配给默认命名空间。但是,列表中不会显示默认命名空间。
“资产”视图
在“资产”视图中,命名空间在页面顶部的资产标题中指明。如果您通过点击下拉菜单来选择下拉菜单,则可以选择与资产关联的其他命名空间。
具有命名空间的“资产”视图
IP 地址、网域和哈希视图
在整个 Google 安全运维界面中,命名空间会显示在引用资产的任何位置(默认或未标记的命名空间除外),包括 IP 地址、网域和哈希视图中。
例如,在“IP 地址”视图中,命名空间同时包含在资产标签页和普遍性图中。
提取标签
如需进一步缩小搜索范围,您可以使用提取标签来设置单独的 Feed。如需查看支持的提取标签的完整列表,请参阅支持的默认解析器。
示例:向日志添加命名空间的三种方法
以下示例介绍了为注入到 Google Security Operations 帐号的日志添加命名空间的三种不同方法。
使用 Google Security Operations Forwarder 分配命名空间
您可以配置命名空间,方法是将命名空间作为特定于转发器的命名空间或收集器专用的命名空间添加到 Google Security Operations Forwarder 配置文件中。以下示例转发器配置说明了这两种类型:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
如本例所示,源自 WINEVTLOG
的日志包含命名空间标记 FORWARDER
。源自 NIX_SYSTEM
的日志包含命名空间标记 CORPORATE
。
这会为日志收集器设置整个命名空间。如果您的环境中混用了属于多个命名空间的日志,并且您无法细分这些机器(或者这是设计目的),Google 建议您为使用正则表达式过滤日志的同一日志源创建多个收集器。
使用 Ingestion API 分配命名空间
通过 Google Security Operations 提取 API 中的 unstructuredlogentries
端点发送日志时,您还可以配置命名空间,如以下示例所示:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
在此示例中,命名空间是 API POST 调用的正文参数。来自 BIND\_DNS
的日志会使用 FORWARDER
命名空间标记转发其日志数据。
使用 Google Security Operations Feeds Management 分配命名空间
如 Feed 管理用户指南中所述,通过 Google Security Operations Feeds Management,您可以在 Google Security Operations 租户中设置和管理各种日志流。
在以下示例中,系统将使用 FORWARDER
命名空间标记提取 Office 365 日志:
图 1:包含 FORWARDER 命名空间标记的 Feed 管理配置