Trabalhar com namespaces de recursos
Quando você pesquisa um recurso nas Operações de segurança do Google, por exemplo, usando um endereço IP ou um nome do host, poderá ver todas as atividades associadas a esse recurso. Às vezes, existem vários recursos associados ao mesmo endereço IP ou nome do host, por exemplo, da sobreposição de atribuições de endereços IP RFC 1918 diferentes segmentos de rede).
Com o controle de nomes de recursos, é possível classificar categorias de recursos compartilhar um ambiente de rede comum ou namespace e, em seguida, realizar pesquisas para esses recursos na interface do usuário das Operações de segurança do Google com base no namespace. Por exemplo, é possível criar namespaces para redes em nuvem, corporações versus produção segmentação, redes de fusão e aquisição e assim por diante.
Criar e atribuir um namespace aos dados
Todos os recursos têm um namespace definido de modo automático ou manual configurada. Se nenhum namespace for informado nos registros, um namespace default será associado aos recursos com o rótulo sem tag na interface das Operações de segurança do Google. Registros ingeridos nas Operações de segurança do Google antes do namespace são rotuladas implicitamente como parte do namespace padrão ou sem tag.
É possível configurar namespaces usando o seguinte:
- Versão para Linux do Google Security Operations Forwarder.
- Alguns dos analisadores de normalização (por exemplo, para o Google Cloud) podem preencher automaticamente o namespace (para o Google Cloud, com base em identificadores de projeto e VPC).
- API Google Security Operations Ingestion.
- Gerenciamento de feeds do Google Security Operations.
Namespaces na interface do Google Security Operations
O namespace anexado aos seus recursos vai aparecer em toda a interface das Operações de segurança do Google, especialmente quando há uma lista de recursos, incluindo os seguintes:
- Pesquisa de UDM
- Varredura de registro bruto
- Insights corporativos
- Visualizações de detecção
Barra de pesquisa
Ao usar a barra de pesquisa, os namespaces associados cada recurso são exibidos. A seleção de um recurso em um namespace específico abre na visualização "Recursos", mostrando outras atividades associadas ao mesmo .
Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não é exibido em listas.
Visualização dos recursos
Na visualização "Recurso", o namespace é indicado na parte de cima do título do recurso da página. Se você selecionar o menu suspenso clicando na seta para baixo, pode selecionar os outros namespaces associados ao recurso.
Visualização de recursos com namespaces
Visualizações de endereço IP, domínio e hash
Na interface do usuário das Operações de segurança do Google, os namespaces são exibidos em qualquer lugar dos recursos é referenciado (exceto pelo namespace padrão ou sem tag), incluindo em as visualizações de endereço IP, domínio e hash.
Por exemplo, na visualização "Endereço IP", os namespaces são incluídos na guia "Recursos" e no gráfico de prevalência.
Rótulos de ingestão
Para restringir ainda mais sua pesquisa, você pode usar rótulos de processamento para configurar feeds separados. Para uma lista completa dos rótulos de ingestão compatíveis, consulte Analisadores padrão compatíveis.
Exemplos: três maneiras de adicionar um namespace aos registros
Os exemplos a seguir ilustram três maneiras diferentes de adicionar um namespace aos registros ingeridos na sua conta de Operações de segurança do Google.
Atribuir um namespace usando o encaminhador de operações de segurança do Google
É possível configurar um namespace adicionando-o ao arquivo de configuração do encaminhador de operações de segurança do Google como um namespace específico do encaminhador ou específico do coletor. O exemplo de configuração de encaminhador a seguir ilustra os dois tipos:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Como mostrado nesse exemplo, os registros originados de WINEVTLOG incluem a tag de namespace FORWARDER. Os registros originados de NIX_SYSTEM incluem a tag de namespace CORPORATE.
Isso define um namespace geral para o coletor de registros. Se o ambiente tiver uma combinação de registros que pertencem a vários namespaces e você não conseguir segmentar essas máquinas (ou isso ocorre por padrão), o Google recomenda criar vários coletores para a mesma origem de registro que esteja filtrando os registros para o respectivo namespace usando expressões regulares.
Atribuir um namespace usando a API Ingestion
Também é possível configurar um namespace ao enviar seus registros pelo endpoint unstructuredlogentries na API Google Security Operations, conforme mostrado no exemplo a seguir:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
Neste exemplo, o namespace é um parâmetro de corpo da chamada POST da API. Os registros de BIND\_DNS encaminham os dados deles com a tag de namespace FORWARDER.
Atribuir um namespace usando o gerenciamento de feeds do Google Security Operations
Conforme descrito no Guia do usuário do gerenciamento de feeds, o gerenciamento de feeds do Google Security Operations permite configurar e gerenciar vários fluxos de registros no seu locatário das Operações de segurança do Google.
No exemplo a seguir, os registros do Office 365 serão ingeridos com a tag de namespace FORWARDER:
Figura 1: configuração de gerenciamento de feeds com a tag de namespace FORWARDER