使用 Asset 命名空间

支持的平台:

当您在 Google Security Operations 中搜索资产时,例如使用 IP 地址或 主机名,您就可以看到与该资产相关的所有活动。 有时,有多个资产与同一 IP 地址或主机名相关联(例如,来自不同网段上重叠的 RFC 1918 IP 地址分配)。

借助素材资源命名空间功能,您可以对素材资源的类别进行分类 共享一个公用网络环境或命名空间,然后执行搜索 根据其命名空间在 Google Security Operations 界面中为这些资产提供专用 ID。 例如,您可以为云网络、公司与生产细分、合并和收购网络等创建命名空间。

创建命名空间并将其分配给数据

所有资产都有一个自动定义或手动配置的命名空间。如果日志中未提供命名空间,则系统会将一个 default 命名空间与带有 在 Google Security Operations 界面中取消标记。在命名空间支持之前提取到 Google Security Operations 中的日志会隐式标记为默认或未标记命名空间的一部分。

您可以使用以下方式配置命名空间:

Google Security Operations 界面中的命名空间

您会在整个 Google 安全运营界面中看到与您的资产相关联的命名空间,特别是在存在资产列表时,包括以下列表:

  • UDM 搜索
  • 原始日志扫描
  • 企业数据分析
  • 检测视图

使用搜索栏时,系统会显示与每个资产关联的命名空间。选择特定命名空间内的资产,即可在“资产”视图中打开该资产,并显示与同一命名空间关联的其他活动。

任何与命名空间没有关联的资产都将分配给默认命名空间。但是,默认命名空间不会显示在列表中。

“资产”视图

在“资产”视图中,命名空间在页面顶部的资产标题中指明。如果您通过点击下拉菜单来选择下拉菜单,则可以选择与资产关联的其他命名空间。

具有命名空间的“资产”视图 具有命名空间的“资产”视图

IP 地址、网域和哈希视图

在整个 Google 安全运营界面中,命名空间会显示在引用资产的任何位置(默认或未标记的命名空间除外),包括 IP 地址、网域和哈希视图。

例如,在“IP 地址”视图中, “素材资源”标签页和普及率图表中

提取标签

如需进一步缩小搜索范围,您可以使用提取标签设置单独的 Feed。如需查看支持的提取标签的完整列表,请参阅支持的默认解析器

示例:将命名空间添加到日志的三种方法

以下示例展示了三种不同的方法,您可以通过三种不同的方式向注入到 Google Security Operations 账号的日志添加命名空间。

使用 Google Security Operations 转发器分配命名空间

您可以将命名空间作为转发器专用命名空间或收集器专用命名空间添加到 Google 安全运营转发器配置文件中,以便配置命名空间。以下示例转发器配置展示了这两种类型:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如本例所示,源自 WINEVTLOG 的日志包含命名空间标记 FORWARDER。来自 NIX_SYSTEM 的日志包含命名空间标记 CORPORATE

这会将整个命名空间设置为日志收集器。如果您的环境包含属于多个命名空间的混合日志,并且您无法对这些机器进行细分(或者这是有意为之),Google 建议您为同一日志源创建多个收集器,并使用正则表达式将日志过滤到各自的命名空间。

使用 Ingestion API 分配命名空间

您还可以在通过 Google Security Operations ingestion API 中的 unstructuredlogentries 端点发送日志时配置命名空间,如以下示例所示:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在此示例中,命名空间是 API POST 调用的正文参数。来自 BIND\_DNS 的日志转发其日志数据并使用 FORWARDER 命名空间标记。

使用 Google Security Operations Feed 管理功能分配命名空间

正如 Feed 管理用户指南中所述,借助 Google Security Operations Feed Management,您可以在 Google Security Operations 租户内设置和管理各种日志流。

在以下示例中,系统将使用 FORWARDER 命名空间标记提取 Office 365 日志:

add_feed_namespace

图 1:包含 FORWARDER 命名空间标记的 Feed 管理配置