Utiliser des espaces de noms d'éléments

Lorsque vous recherchez un élément dans Google Security Operations, par exemple à l'aide d'une adresse IP ou d'un nom d'hôte, vous pouvez voir toute l'activité associée à cet élément. Il arrive que plusieurs composants soient associés à la même adresse IP ou au même nom d'hôte (par exemple, en raison de l'attribution d'adresses IP RFC 1918 qui se chevauchent sur différents segments de réseau).

La fonctionnalité d'espace de noms des composants vous permet de classer des catégories de composants partageant un environnement réseau commun, ou un espace de noms, puis d'effectuer des recherches sur ces composants dans l'interface utilisateur de Google Security Operations en fonction de leur espace de noms. Par exemple, vous pouvez créer des espaces de noms pour les réseaux cloud, la segmentation entreprise/production, les réseaux de fusion et d'acquisition, etc.

Créer et attribuer un espace de noms aux données

Tous les composants disposent d'un espace de noms défini automatiquement ou configuré manuellement. Si aucun espace de noms n'est fourni dans les journaux, un espace de noms par défaut est associé aux éléments, qui sont marqués comme non tagués dans l'interface utilisateur de Google Security Operations. Les journaux ingérés dans Google Security Operations avant la prise en charge des espaces de noms sont implicitement associés à l'espace de noms par défaut ou non tagué.

Vous pouvez configurer des espaces de noms à l'aide des éléments suivants:

• Version Linux du redirecteur Google Security Operations.
• Certains des analyseurs de normalisation (par exemple, pour Google Cloud) peuvent renseigner automatiquement le nom d'espace (pour Google Cloud, en fonction des identifiants de projet et de VPC).
• API Google Security Operations Ingestion
• Gestion des flux Google Security Operations

Namespaces dans l'interface utilisateur de Google Security Operations

L'espace de noms associé à vos composants s'affiche dans l'interface utilisateur de Google Security Operations, en particulier lorsqu'une liste de composants s'affiche, y compris les éléments suivants:

• Recherche UDM
• Analyse des journaux bruts
• Insights d'entreprise
• Vues de détection

Barre de recherche

Lorsque vous utilisez la barre de recherche, les espaces de noms associés à chaque composant sont affichés. Si vous sélectionnez un composant dans un espace de noms spécifique, il s'ouvre dans la vue "Composant", qui affiche les autres activités associées au même espace de noms.

Tout élément qui n'est pas associé à un espace de noms est attribué à l'espace de noms par défaut. Toutefois, l'espace de noms par défaut n'est pas affiché dans les listes.

Vue des composants

Dans la vue "Élément", l'espace de noms est indiqué dans le titre de l'élément en haut de la page. Si vous sélectionnez le menu déroulant en cliquant sur la flèche vers le bas, vous pouvez sélectionner les autres espaces de noms associés au composant.

Vue des éléments avec des espaces de noms

Vues "Adresse IP", "Domaine" et "Hachage"

Dans l'interface utilisateur de Google Security Operations, les espaces de noms s'affichent partout où un composant est référencé (à l'exception de l'espace de noms par défaut ou non tagué), y compris dans les vues "Adresse IP", "Domaine" et "Hachage".

Par exemple, dans la vue "Adresse IP", les espaces de noms sont inclus à la fois dans l'onglet "Composant" et dans le graphique de prévalence.

Étiquettes d'ingestion

Pour affiner davantage votre recherche, vous pouvez utiliser des libellés d'ingestion pour configurer des flux distincts. Pour obtenir la liste complète des libellés d'ingestion acceptés, consultez la section Analyseurs par défaut compatibles.

Exemples: trois façons d'ajouter un espace de noms aux journaux

Les exemples suivants illustrent trois façons différentes d'ajouter un espace de noms aux journaux que vous insérez dans votre compte Google Security Operations.

Attribuer un espace de noms à l'aide du transpondeur Google Security Operations

Vous pouvez configurer un espace de noms en l'ajoutant au fichier de configuration du transpondeur Google Security Operations en tant qu'espace de noms spécifique au transpondeur ou spécifique au collecteur. L'exemple de configuration de forwarder suivant illustre les deux types:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Comme indiqué dans cet exemple, les journaux provenant de WINEVTLOG incluent la balise d'espace de noms FORWARDER. Les journaux provenant de NIX_SYSTEM incluent la balise d'espace de noms CORPORATE.

Cela définit un espace de noms global pour le collecteur de journaux. Si votre environnement contient un mélange de journaux appartenant à plusieurs espaces de noms et que vous ne parvenez pas à segmenter ces machines (ou si cela est intentionnel), Google vous recommande de créer plusieurs collecteurs pour la même source de journaux qui filtre les journaux dans leur espace de noms respectif à l'aide d'expressions régulières.

Attribuer un espace de noms à l'aide de l'API d'ingestion

Vous pouvez également configurer un espace de noms lorsque vous envoyez vos journaux via le point de terminaison unstructuredlogentries de l'API d'ingestion Google Security Operations, comme illustré dans l'exemple suivant:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Dans cet exemple, l'espace de noms est un paramètre de corps de l'appel POST de l'API. Les journaux de BIND\_DNS transfèrent leurs données de journal avec la balise d'espace de noms FORWARDER.

Attribuer un espace de noms à l'aide de la gestion des flux Google Security Operations

Comme indiqué dans le guide de l'utilisateur sur la gestion des flux, la gestion des flux Google Security Operations vous permet de configurer et de gérer différents flux de journaux dans votre locataire Google Security Operations.

Dans l'exemple suivant, les journaux Office 365 seront ingérés avec la balise d'espace de noms FORWARDER:

Figure 1: Configuration de la gestion des flux avec la balise d'espace de noms FORWARDER

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.