Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare gli spazi dei nomi degli asset

Supportato in:

Google SecOps SIEM

Quando cerchi un asset in Google Security Operations, ad esempio utilizzando un indirizzo IP o un nome host, puoi visualizzare tutte le attività associate a quell'asset. A volte sono presenti più asset associati allo stesso indirizzo IP o allo stesso nome host (ad esempio, da assegnazioni di indirizzi IP RFC 1918 sovrapposti su diversi segmenti di rete).

La funzionalità di spazi dei nomi degli asset consente di classificare le categorie di asset che condividono un ambiente di rete o uno spazio dei nomi comune, quindi di eseguire ricerche per questi asset all'interno dell'interfaccia utente di Google Security Operations in base al loro spazio dei nomi. Ad esempio, potresti creare spazi dei nomi per le reti cloud, aziendali e di produzione segmentazione, reti di fusione e acquisizione e così via.

Creare e assegnare lo spazio dei nomi ai dati

Tutti gli asset hanno uno spazio dei nomi definito automaticamente o manualmente configurato. Se non viene fornito uno spazio dei nomi nei log, alle risorse viene associato uno spazio dei nomi predefinito, contrassegnato come segnalato nell'interfaccia utente di Google Security Operations. Log importati in Google Security Operations prima dello spazio dei nomi vengono implicitamente etichettati come parte dello spazio dei nomi predefinito o senza tag.

Puoi configurare gli spazi dei nomi utilizzando quanto segue:

Versione Linux del forwarder di Google Security Operations.
Alcuni degli analizzatori di normalizzazione (ad esempio per Google Cloud) possono compilare automaticamente lo spazio dei nomi (per Google Cloud, in base agli identificatori di progetto e VPC).
API Google Security Operations Ingestion.
Gestione dei feed di Google Security Operations.

Spazi dei nomi nell'interfaccia utente di Google Security Operations

Vedrai lo spazio dei nomi associato ai tuoi asset nell'interfaccia utente di Google Security Operations, soprattutto quando è presente un elenco di risorse, tra cui:

Ricerca UDM
Scansione log non elaborati
Insight aziendali
Visualizzazioni rilevamento

Barra di ricerca

Quando utilizzi la barra di ricerca, gli spazi dei nomi associati a viene visualizzato ciascun asset. Si apre la selezione di un asset all'interno di uno spazio dei nomi specifico nella vista Asset, in cui sono mostrate le altre attività associate nello spazio dei nomi.

Tutti gli asset non associati a uno spazio dei nomi vengono assegnati allo spazio dei nomi predefinito. Tuttavia, lo spazio dei nomi predefinito non viene visualizzato negli elenchi.

Visualizzazione degli asset

Nella visualizzazione Asset, lo spazio dei nomi è indicato nel titolo della risorsa nella parte superiore della pagina. Se selezioni il menu a discesa facendo clic sulla Freccia giù, puoi selezionare gli altri spazi dei nomi associati all'asset.

Visualizzazione degli asset con spazi dei nomi

Viste Indirizzo IP, Dominio e Hash

Nell'interfaccia utente di Google Security Operations, gli spazi dei nomi vengono visualizzati ovunque viene fatto riferimento a una risorsa (tranne che per lo spazio dei nomi predefinito o non taggato), ad esempio nelle visualizzazioni Indirizzo IP, Dominio e Hash.

Ad esempio, nella vista Indirizzo IP, gli spazi dei nomi sono inclusi sia nella scheda degli asset e nel grafico di prevalenza.

Etichette di importazione

Per restringere ulteriormente la ricerca, puoi utilizzare le etichette di importazione per configurare feed separati. Per un elenco completo delle etichette di importazione supportate, consulta Parser predefiniti supportati.

Esempi: tre modi per aggiungere uno spazio dei nomi ai log

I seguenti esempi illustrano tre diversi modi per aggiungere un ambito ai log importati nel tuo account Google Security Operations.

Assegna uno spazio dei nomi utilizzando Google Security Operations Forwarder

Puoi configurare uno spazio dei nomi aggiungendolo al file di configurazione di Google Security Operations Forwarder come spazio dei nomi specifico per l'inoltro o specifico del raccoglitore. La seguente configurazione del server di inoltro illustra entrambi i tipi:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Come mostrato in questo esempio, i log provenienti da WINEVTLOG includono il tag dello spazio dei nomi FORWARDER. I log provenienti da NIX_SYSTEM includono il tag dello spazio dei nomi CORPORATE.

Viene impostato uno spazio dei nomi complessivo per il raccoglitore di log. Se il tuo ambiente contiene una combinazione di log che appartengono a più spazi dei nomi e non riesci a segmentare queste macchine (o questa è una scelta in base alla progettazione), Google consiglia di creare più raccoglitori per la stessa origine log che filtrano i log in base al rispettivo spazio dei nomi utilizzando espressioni regolari.

Assegnare un ambito utilizzando l'API di importazione

Puoi anche configurare uno spazio dei nomi quando invii i log tramite l'endpoint unstructuredlogentries all'interno dell'API Google Security Operations Import, come mostrato nell'esempio seguente:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

In questo esempio, lo spazio dei nomi è un parametro del corpo della chiamata POST dell'API. I log di BIND\_DNS inoltrano i dati dei log con il tag dello spazio dei nomi FORWARDER.

Assegna uno spazio dei nomi utilizzando la gestione dei feed di Google Security Operations

Come indicato nella Guida utente per la gestione dei feed, la gestione dei feed di Google Security Operations ti consente di configurare e gestire vari stream di log all'interno del tuo tenant Google Security Operations.

Nell'esempio seguente, i log di Office 365 verranno importati con il tag dello spazio dei nomi FORWARDER:

Figura 1: configurazione di gestione dei feed con il tag dello spazio dei nomi FORWARDER