使用资产命名空间

支持的平台:

当您在 Google 安全运营中心中搜索资产(例如使用 IP 地址或主机名)时,可以查看与该资产关联的所有活动。有时,有多个资产与同一 IP 地址或主机名相关联(例如,来自不同网段上重叠的 RFC 1918 IP 地址分配)。

借助资产命名空间功能,您可以对共享公共网络环境或命名空间的资产进行分类,然后根据 Google 安全运营界面的命名空间搜索这些资产。例如,您可以为云网络、公司与生产细分、合并和收购网络等创建命名空间。

创建命名空间并将其分配给数据

所有资产都有一个自动定义或手动配置的命名空间。如果日志中未提供命名空间,则默认命名空间将与在 Google 安全运营界面中标记为未标记的资产相关联。在命名空间支持之前提取到 Google Security Operations 中的日志会隐式标记为默认或未标记命名空间的一部分。

您可以使用以下方式配置命名空间:

Google Security Operations 界面中的命名空间

您会在整个 Google 安全运营界面中看到与您的资产相关联的命名空间,特别是在存在资产列表时,包括以下列表:

  • UDM 搜索
  • 原始日志扫描
  • 企业数据分析
  • 检测视图

使用搜索栏时,系统会显示与每个资产关联的命名空间。选择特定命名空间内的资产,即可在“资产”视图中打开该资产,并显示与同一命名空间关联的其他活动。

任何与命名空间没有关联的资产都将分配给默认命名空间。但是,默认命名空间不会显示在列表中。

“资产”视图

在“资产”视图中,命名空间在页面顶部的资产标题中指明。如果您通过点击下拉菜单来选择下拉菜单,则可以选择与资产关联的其他命名空间。

具有命名空间的“资产”视图 具有命名空间的“资产”视图

IP 地址、网域和哈希视图

在整个 Google 安全运营界面中,命名空间会显示在引用资产的任何位置(默认或未标记的命名空间除外),包括 IP 地址、网域和哈希视图。

例如,在“IP 地址”视图中,命名空间同时包含在资产标签页和普及率图表中。

提取标签

如需进一步缩小搜索范围,您可以使用提取标签设置单独的 Feed。如需查看支持的提取标签的完整列表,请参阅支持的默认解析器

示例:向日志添加命名空间的三种方法

以下示例展示了三种向您提取到 Google 安全运营账号的日志添加命名空间的方法。

使用 Google Security Operations Forwarder 分配命名空间

您可以将命名空间作为转发器专用命名空间或收集器专用命名空间添加到 Google 安全运营转发器配置文件中,以便配置命名空间。以下转发器配置示例展示了这两种类型:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如此示例所示,来自 WINEVTLOG 的日志包含命名空间标记 FORWARDER。来自 NIX_SYSTEM 的日志包含命名空间标记 CORPORATE

这会为日志收集器设置一个总体命名空间。如果您的环境包含属于多个命名空间的混合日志,并且您无法细分这些机器(或者这是有意为之),Google 建议您为同一日志源创建多个收集器,并使用正则表达式将日志过滤到各自的命名空间。

使用 Ingestion API 分配命名空间

您还可以在通过 Google Security Operations ingestion API 中的 unstructuredlogentries 端点发送日志时配置命名空间,如以下示例所示:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在此示例中,命名空间是 API POST 调用的正文参数。来自 BIND\_DNS 的日志会使用 FORWARDER 命名空间标记转发其日志数据。

使用 Google Security Operations Feed 管理功能分配命名空间

Feed 管理用户指南中所述,借助 Google 安全运营 Feed 管理,您可以在 Google 安全运营租户中设置和管理各种日志流。

在以下示例中,系统会将 Office 365 日志提取并附加 FORWARDER 命名空间标记:

add_feed_namespace

图 1:包含 FORWARDER 命名空间标记的 Feed 管理配置

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。