Utiliser les espaces de noms de composants

Lorsque vous recherchez un élément dans Google Security Operations, par exemple à l'aide d'une adresse IP ou d'un nom d'hôte, vous pouvez voir toutes les activités associées à cet élément. Parfois, plusieurs éléments sont associés à la même adresse IP ou (par exemple, en cas de chevauchement d'attributions d'adresses IP RFC 1918 sur segments de réseau différents).

La fonctionnalité d'espace de noms des composants vous permet de classer des catégories d'assets partagent un environnement réseau (ou espace de noms) commun, puis effectuent des recherches pour ces ressources dans l'interface utilisateur de Google Security Operations en fonction de leur espace de noms. Par exemple, vous pouvez créer des espaces de noms pour les réseaux cloud, l'entreprise ou l'environnement de production. la segmentation, les réseaux de fusion et d'acquisition, etc.

Créer un espace de noms et l'attribuer aux données

Tous les éléments ont un espace de noms défini automatiquement ou manuellement configuré. Si aucun espace de noms n'est fourni dans les journaux, un espace de noms default est associé aux éléments libellés sans tag dans l'interface utilisateur de Google Security Operations. Journaux ingérés dans Google Security Operations avant l'espace de noms pris en charge sont implicitement étiquetés comme faisant partie de l'espace de noms par défaut ou sans balise.

Vous pouvez configurer des espaces de noms à l'aide des éléments suivants:

• Version Linux du gestionnaire Google Security Operations.
• Certains analyseurs de normalisation (par exemple, pour Google Cloud) peuvent renseigner automatiquement l'espace de noms (pour Google Cloud, en fonction des identifiants de projet et de VPC).
• API Google Security Operations Ingestion :
• Gestion des flux Google Security Operations

Espaces de noms dans l'interface utilisateur de Google Security Operations

Vous verrez l'espace de noms associé à vos éléments dans l'interface utilisateur de Google Security Operations, en particulier si elle contient une liste d'éléments, y compris les suivants:

• Recherche UDM
• Analyse du journal brut
• Insights d'entreprise
• Vues de détection

Barre de recherche

Lorsque vous utilisez la barre de recherche, les espaces de noms associés à chaque élément s'affichent. La sélection d'un élément dans un espace de noms spécifique ouvre dans la vue "Asset" pour afficher les autres activités associées espace de noms.

Tout élément qui n'est pas associé à un espace de noms est affecté à l'espace de noms par défaut. Toutefois, l'espace de noms par défaut ne s'affiche pas dans les listes.

Vue des composants

Dans la vue "Élément", l'espace de noms est indiqué dans le titre de l'élément, en haut. de la page. Si vous cliquez sur la flèche vers le bas pour sélectionner le menu déroulant, peut sélectionner les autres espaces de noms associés à l'élément.

Vue des éléments avec espaces de noms

Vues "Adresse IP", "Domaine" et "Hachage"

Dans l'interface utilisateur de Google Security Operations, les espaces de noms sont affichés partout où un élément est référencée (à l'exception de l'espace de noms par défaut ou sans tag), y compris dans l'adresse IP, le domaine et les vues de hachage.

Par exemple, dans la vue "Adresse IP", les espaces de noms sont inclus dans dans l'onglet "Assets" et dans le graphique de prévalence.

Étiquettes d'ingestion

Pour affiner davantage votre recherche, vous pouvez utiliser des libellés d'ingestion afin de configurer des flux distincts. Pour obtenir la liste complète des étiquettes d'ingestion compatibles, consultez Analyseurs par défaut compatibles.

Exemples: trois façons d'ajouter un espace de noms aux journaux

Les exemples suivants illustrent trois façons différentes d'ajouter un espace de noms aux journaux que vous ingérez dans votre compte Google Security Operations.

Attribuer un espace de noms à l'aide du redirecteur Google Security Operations

Vous pouvez configurer un espace de noms en l'ajoutant au fichier de configuration du redirecteur Google Security Operations en tant qu'espace de noms spécifique au redirecteur ou spécifique au collecteur. L'exemple de configuration du redirecteur suivant illustre ces deux types:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Comme le montre cet exemple, les journaux provenant de WINEVTLOG incluent la balise d'espace de noms FORWARDER. Les journaux provenant de NIX_SYSTEM incluent la balise d'espace de noms CORPORATE.

Cela définit un espace de noms global sur le collecteur de journaux. Si votre environnement contient un mélange de journaux appartenant à plusieurs espaces de noms et que vous n'êtes pas en mesure de segmenter ces machines (ou c'est parce que c'est la conception), Google vous recommande de créer plusieurs collecteurs pour la même source de journal qui filtre les journaux en fonction de leur espace de noms respectif à l'aide d'expressions régulières.

Attribuer un espace de noms à l'aide de l'API Ingestion

Vous pouvez également configurer un espace de noms lorsque vous envoyez vos journaux via le point de terminaison unstructuredlogentries dans l'API d'ingestion Google Security Operations, comme illustré dans l'exemple suivant:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Dans cet exemple, l'espace de noms est un paramètre de corps de l'appel POST de l'API. Les journaux de BIND\_DNS transfèrent leurs données de journal avec la balise d'espace de noms FORWARDER.

Attribuer un espace de noms à l'aide de la gestion des flux Google Security Operations

Comme indiqué dans le guide de l'utilisateur sur la gestion des flux, la gestion des flux Google Security Operations vous permet de configurer et de gérer différents flux de journaux au sein de votre locataire Google Security Operations.

Dans l'exemple suivant, les journaux Office 365 seront ingérés avec la balise d'espace de noms FORWARDER:

Figure 1: Configuration de la gestion des flux avec la balise d'espace de noms FORWARDER