此页面由 Cloud Translation API 翻译。

使用 Asset 命名空间

当您在 Google Security Operations 中搜索资产时，例如使用 IP 地址或主机名，您就可以看到与该资产相关的所有活动。有时，有多个资产与同一 IP 地址或主机名相关联（例如，来自不同网段上重叠的 RFC 1918 IP 地址分配）。

借助素材资源命名空间功能，您可以对素材资源的类别进行分类共享一个公用网络环境或命名空间，然后执行搜索根据其命名空间在 Google Security Operations 界面中为这些资产提供专用 ID。例如，您可以为云网络、公司与生产细分、合并和收购网络等创建命名空间。

创建命名空间并将其分配给数据

所有资产都有一个自动定义或手动配置的命名空间。如果日志中未提供命名空间，则系统会将一个 default 命名空间与带有在 Google Security Operations 界面中取消标记。在命名空间之前注入 Google Security Operations 的日志支持隐式标记为默认或未标记命名空间的一部分。

您可以使用以下方式配置命名空间：

Linux 版本的 Google Security Operations Forwarder。
一些标准化解析器（例如，对于 Google Cloud）可以自动填充命名空间（对于 Google Cloud，基于项目和 VPC 标识符）。
Google Security Operations Ingestion API。
Google Security Operations Feed 管理。

Google Security Operations 界面中的命名空间

您会在 Google Security Operations 界面中看到附加到资产的命名空间，特别是在有资产列表时，其中包括：

UDM 搜索
原始日志扫描
企业数据分析
检测视图

搜索栏

使用搜索栏时，与资源。选择特定命名空间中的资产即会打开显示在“素材资源”视图中，显示与该素材资源相关的其他活动命名空间。

任何与命名空间没有关联的资产都将分配给默认命名空间。但是，默认命名空间不会显示在列表中。

“资产”视图

在“资产”视图中，命名空间在页面顶部的资产标题中指明。如果您通过点击下拉菜单来选择下拉菜单，则可以选择与资产关联的其他命名空间。

具有命名空间的“资产”视图

IP 地址、网域和哈希视图

在整个 Google Security Operations 界面中，命名空间会显示在资源所在的任何位置（默认或未标记命名空间除外），其中包括 IP 地址、域和哈希视图。

例如，在“IP 地址”视图中， “素材资源”标签页和普及率图表中

提取标签

如需进一步缩小搜索范围，您可以使用提取标签设置单独的 Feed。如需查看支持的提取标签的完整列表，请参阅支持的默认解析器。

示例：将命名空间添加到日志的三种方法

以下示例展示了三种不同的方法，您可以通过三种不同的方式向注入到 Google Security Operations 账号的日志添加命名空间。

使用 Google Security Operations 转发器分配命名空间

您可以将命名空间作为转发器专用命名空间或收集器专用命名空间添加到 Google Security Operations 转发器配置文件中，从而对其进行配置。以下示例转发器配置展示了这两种类型：

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如本例所示，源自 WINEVTLOG 的日志包含命名空间标记 FORWARDER。源自 NIX_SYSTEM 的日志包含命名空间标记 CORPORATE。

这会将整个命名空间设置为日志收集器。如果您的环境同时包含属于多个命名空间的日志，并且您无法对这些机器进行细分（或者这是设计使然），Google 建议您使用正则表达式为同一日志源创建多个收集器，使用正则表达式将日志过滤到各自的命名空间。

使用 Ingestion API 分配命名空间

在通过 Google Security Operations ingestion API 中的 unstructuredlogentries 端点发送日志时，您还可以配置命名空间，如以下示例所示：

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在此示例中，命名空间是 API POST 调用的正文参数。来自 BIND\_DNS 的日志转发其日志数据并使用 FORWARDER 命名空间标记。

使用 Google Security Operations Feeds 分配命名空间

正如 Feed 管理用户指南中所述，借助 Google Security Operations Feed Management，您可以在 Google Security Operations 租户内设置和管理各种日志流。

在以下示例中，系统将使用 FORWARDER 命名空间标记提取 Office 365 日志：

图 1：包含 FORWARDER 命名空间代码的 Feed 管理配置