Trabalhar com namespaces de recursos

Compatível com:

Ao pesquisar um recurso no Google Security Operations, por exemplo, usando um endereço IP ou um nome de host, você pode conferir toda a atividade associada a ele. Às vezes, há vários recursos associados ao mesmo endereço IP ou nome de host (por exemplo, de atribuições de endereço IP RFC 1918 sobrepostas em segmentos de rede diferentes).

O recurso de namespace de recursos permite classificar categorias de recursos que compartilham um ambiente de rede comum, ou namespace, e realizar pesquisas nesses recursos na interface do usuário do Google Security Operations com base no namespace. Por exemplo, é possível criar namespaces para redes de nuvem, segmentação de empresas e produtos, redes de fusão e aquisição e assim por diante.

Criar e atribuir namespace aos dados

Todos os recursos têm um namespace definido automaticamente ou configurado manualmente. Se nenhum namespace for fornecido nos registros, um namespace padrão será associado aos recursos que estão marcados como sem tag na interface do Google Security Operations. Os registros ingeridos no Google Security Operations antes do suporte ao namespace são rotulados implicitamente como parte do namespace padrão ou não marcado.

É possível configurar namespaces usando:

Espaços de nomes na interface do Google Security Operations

O namespace vai aparecer em todos os recursos na interface do Google Security Operations, principalmente quando houver uma lista de recursos, incluindo:

  • Pesquisa do UDM
  • Verificação de registro bruto
  • Insights corporativos
  • Visualizações de detecção

Ao usar a barra de pesquisa, os namespaces associados a cada recurso são exibidos. Selecionar um recurso em um namespace específico o abre na visualização de recursos, mostrando as outras atividades associadas ao mesmo namespace.

Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não aparece nas listas.

Visualização de recursos

Na visualização de recursos, o namespace é indicado no título do recurso na parte de cima da página. Se você selecionar o menu suspenso clicando na seta para baixo, poderá selecionar os outros namespaces associados ao recurso.

Visualização de recursos com namespaces Visualização de recursos com namespaces

Visualizações de endereço IP, domínio e hash

Na interface do usuário do Google Security Operations, os namespaces são mostrados em qualquer lugar em que um recurso seja referenciado (exceto o namespace padrão ou não marcado), incluindo as visualizações de endereço IP, domínio e hash.

Por exemplo, na visualização de endereços IP, os namespaces são incluídos na guia de recursos e no gráfico de prevalência.

Rótulos de ingestão

Para restringir ainda mais a pesquisa, use os rótulos de transferência para configurar feeds separados. Para conferir uma lista completa de rótulos de transferência aceitos, consulte Analisadores padrão aceitos.

Exemplos: três maneiras de adicionar um namespace aos registros

Os exemplos a seguir ilustram três maneiras diferentes de adicionar um namespace aos registros que você envia para sua conta do Google Security Operations.

Atribuir um namespace usando o encaminhador do Google Security Operations

Para configurar um namespace, adicione-o ao arquivo de configuração do encaminhador de operações de segurança do Google como um namespace específico do encaminhador ou específico do coletor. O exemplo de configuração de forwarder a seguir ilustra os dois tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como mostrado neste exemplo, os registros originados de WINEVTLOG incluem a tag de namespace FORWARDER. Os registros originados em NIX_SYSTEM incluem a tag de namespace CORPORATE.

Isso define um namespace geral para o coletor de registros. Se o ambiente tiver uma mistura de registros que pertencem a vários namespaces e você não conseguir segmentar essas máquinas (ou isso for intencional), o Google recomenda criar vários coletores para a mesma origem de registro que filtra os registros para o respectivo namespace usando expressões regulares.

Atribuir um namespace usando a API Ingestion

Também é possível configurar um namespace ao enviar seus registros pelo endpoint unstructuredlogentries na API de transferência de dados das Operações de segurança do Google, conforme mostrado no exemplo a seguir:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Neste exemplo, o namespace é um parâmetro de corpo da chamada POST da API. Os registros de BIND\_DNS encaminham os dados de registro com a tag de namespace FORWARDER.

Atribuir um namespace usando o Gerenciamento de feeds do Google Security Operations

Conforme indicado no Guia do usuário para gerenciamento de feeds, o Gerenciamento de feeds das Operações de segurança do Google permite configurar e gerenciar vários fluxos de registro no seu locatário das Operações de segurança do Google.

No exemplo abaixo, os registros do Office 365 serão ingeridos com a tag de namespace FORWARDER:

add_feed_namespace

Figura 1: configuração do Gerenciador de feeds com a tag de namespace FORWARDER