Mit Asset-Namespaces arbeiten
Wenn Sie in Google Security Operations nach einem Asset suchen, z. B. anhand einer IP-Adresse oder eines Hostnamens, können Sie alle mit diesem Asset verknüpften Aktivitäten sehen. Manchmal sind mehrere Assets mit derselben IP-Adresse oder demselben Hostnamen verknüpft, z. B. aus sich überschneidenden RFC 1918-IP-Adresszuweisungen in verschiedenen Netzwerksegmenten.
Mit der Funktion zur Asset-Namensanpassung können Sie Kategorien von Assets klassifizieren, die sich in einer gemeinsamen Netzwerkumgebung oder einem gemeinsamen Namespace teilen. Anschließend können Sie anhand des Namespace in der Google Security Operations-Benutzeroberfläche nach diesen Assets suchen. Sie könnten beispielsweise Namespaces für Cloud-Netzwerke, Unternehmens-/Produktsegmentierung, Fusions- und Übernahmenetzwerke usw. erstellen.
Namespace erstellen und Daten zuweisen
Alle Assets haben einen Namespace, der entweder automatisch definiert oder manuell konfiguriert wird. Wenn in den Logs kein Namespace angegeben ist, wird den Assets ein default-Namespace zugeordnet, der in der Google Security Operations-UI als nicht getaggt gekennzeichnet ist. Logs, die vor der Namespace-Unterstützung in Google Security Operations aufgenommen wurden, werden implizit als Teil des Standard- oder nicht getaggten Namespace gekennzeichnet.
So können Sie Namespaces konfigurieren:
- Linux-Version von Google Security Operations Forwarder
- Einige Normalisierungsparser (z. B. für Google Cloud) können den Namespace automatisch füllen (für Google Cloud basierend auf Projekt- und VPC-IDs).
- Google Security Operations Ingestion API
- Google Security Operations-Feedverwaltung.
Namespaces in der Google Security Operations-UI
Der Namespace ist in der gesamten Google Security Operations-UI mit Ihren Assets verknüpft, insbesondere wenn eine Liste mit Assets vorhanden ist, darunter:
- UDM-Suche
- Rohlogscan
- Unternehmensstatistiken
- Erkennungsansichten
Suchleiste
Über die Suchleiste werden die Namespaces angezeigt, die mit den einzelnen Assets verknüpft sind. Wenn Sie ein Asset in einem bestimmten Namespace auswählen, wird es in der Asset-Ansicht geöffnet. Dort werden die anderen Aktivitäten angezeigt, die mit demselben Namespace verknüpft sind.
Jedes Asset, das nicht mit einem Namespace verknüpft ist, wird dem Standard-Namespace zugewiesen. Der Standard-Namespace wird jedoch nicht in Listen angezeigt.
Asset-Ansicht
In der Asset-Ansicht wird der Namespace im Titel des Assets oben auf der Seite angegeben. Wenn Sie das Drop-down-Menü durch Klicken auf den Abwärtspfeil auswählen, können Sie die anderen Namespaces auswählen, die mit dem Asset verknüpft sind.
Asset-Ansicht mit Namespaces
IP-Adresse, Domain und Hash-Ansichten
Auf der gesamten Google Security Operations-Benutzeroberfläche werden Namespaces überall dort angezeigt, wo auf ein Asset verwiesen wird (außer im Standard- oder nicht getaggten Namespace), auch in den Ansichten IP-Adresse, Domain und Hash.
In der Ansicht „IP-Adressen“ sind Namespaces beispielsweise sowohl auf dem Tab „Assets“ als auch in der Prävalenzgrafik enthalten.
Aufnahmelabels
Wenn Sie Ihre Suche weiter eingrenzen möchten, können Sie mit Aufnahmelabels separate Feeds einrichten. Eine vollständige Liste der unterstützten Aufnahmelabels finden Sie unter Unterstützte Standardparser.
Beispiele: drei Möglichkeiten zum Hinzufügen eines Namespace zu Logs
Die folgenden Beispiele veranschaulichen drei verschiedene Möglichkeiten, wie Sie den Logs, die Sie in Ihr Google Security Operations-Konto aufnehmen, einen Namespace hinzufügen können.
Namespace mithilfe von Google Security Operations Forwarder zuweisen
Sie können einen Namespace konfigurieren, indem Sie ihn der Google Security Operations Forwarder-Konfigurationsdatei als Forwarder-spezifischer Namespace oder als collector-spezifischer Namespace hinzufügen. Das folgende Beispiel für eine Forwarder-Konfiguration veranschaulicht beide Typen:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Wie in diesem Beispiel gezeigt, enthalten die Logs aus WINEVTLOG
das Namespace-Tag FORWARDER
. Die Logs aus NIX_SYSTEM
enthalten das Namespace-Tag CORPORATE
.
Dadurch wird ein Gesamt-Namespace für den Log-Collector festgelegt. Wenn Ihre Umgebung eine Mischung aus Logs enthält, die zu mehreren Namespaces gehören, und Sie diese Maschinen nicht segmentieren können (oder das ist beabsichtigt), empfiehlt Google, mehrere Collectors für dieselbe Logquelle zu erstellen, die die Logs mithilfe regulärer Ausdrücke nach ihrem jeweiligen Namespace filtert.
Namespace mithilfe der Ingestion API zuweisen
Sie können einen Namespace auch konfigurieren, wenn Sie Ihre Logs über den Endpunkt unstructuredlogentries
innerhalb der Google Security Operations Ingestion API senden, wie im folgenden Beispiel gezeigt:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
In diesem Beispiel ist der Namespace ein Bodyparameter des API-POST-Aufrufs. Logs von BIND\_DNS
leiten ihre Logdaten mit dem Namespace-Tag FORWARDER
weiter.
Namespace mithilfe der Google Security Operations-Feedverwaltung zuweisen
Wie im Nutzerhandbuch zur Feedverwaltung angegeben, können Sie mit der Google Security Operations-Feedverwaltung verschiedene Protokollstreams innerhalb Ihres Google Security Operations-Mandanten einrichten und verwalten.
Im folgenden Beispiel werden Office 365-Logs mit dem Namespace-Tag FORWARDER
aufgenommen:
Abbildung 1: Konfiguration der Feedverwaltung mit dem FORWARDER-Namespace-Tag