Mit Asset-Namespaces arbeiten

Wenn Sie in Chronicle nach einem Asset suchen, z. B. anhand einer IP-Adresse oder eines Hostnamens, können Sie alle Aktivitäten sehen, die mit diesem Asset verknüpft sind. Manchmal sind mehrere Assets mit derselben IP-Adresse oder demselben Hostnamen verknüpft, z. B. aufgrund überlappender RFC 1918-IP-Adresszuweisungen in verschiedenen Netzwerksegmenten.

Mit der Namespace-Funktion für Assets können Sie Kategorien von Assets klassifizieren, die eine gemeinsame Netzwerkumgebung oder einen gemeinsamen Namespace verwenden, und dann auf der Chronicle-Benutzeroberfläche anhand ihres Namespace nach diesen Assets suchen. Sie können beispielsweise Namespaces für Cloud-Netzwerke, Unternehmens- oder Produktionssegmentierung, Fusions- und Übernahmenetzwerke usw. erstellen.

Namespace erstellen und Daten zuweisen

Alle Assets haben einen Namespace, der entweder automatisch definiert oder manuell konfiguriert wird. Wenn in den Logs kein Namespace angegeben ist, wird den Assets ein default-Namespace zugeordnet, der in der Chronicle-UI als untagged gekennzeichnet ist. Logs, die vor der Namespace-Unterstützung in Chronicle aufgenommen wurden, werden implizit als Teil des Standard-Namespace oder des Namespace ohne Tags gekennzeichnet.

Sie können Namespaces mit folgenden Methoden konfigurieren:

Namespaces in der Chronicle-UI

Der mit Ihren Assets verknüpfte Namespace wird in der gesamten Chronicle-UI angezeigt, insbesondere wenn eine Liste von Assets vorhanden ist. Dazu gehören:

  • UDM-Suche
  • Raw-Log-Scan
  • Unternehmensstatistiken
  • Erkennungsansichten

Wenn Sie die Suchleiste verwenden, werden die Namespaces angezeigt, die mit den einzelnen Assets verknüpft sind. Wenn Sie ein Asset in einem bestimmten Namespace auswählen, wird es in der Asset-Ansicht geöffnet. Dort werden auch die anderen Aktivitäten angezeigt, die mit demselben Namespace verknüpft sind.

Jedes Asset, das mit keinem Namespace verknüpft ist, wird dem Standard-Namespace zugewiesen. Der Standard-Namespace wird jedoch nicht in Listen wie der folgenden für die Chronicle-Suchleiste angezeigt.

Suchleiste Suchleiste

Asset-Ansicht

In der Asset-Ansicht wird der Namespace im Titel des Assets oben auf der Seite angegeben. Wenn Sie auf den Abwärtspfeil klicken, um das Drop-down-Menü auszuwählen, können Sie die anderen mit dem Asset verknüpften Namespaces auswählen.

Asset-Ansicht mit Namespaces Asset-Ansicht mit Namespaces

Ansichten „IP-Adresse“, „Domain“ und „Hash“

In der gesamten Chronicle-Benutzeroberfläche werden Namespaces überall dort angezeigt, wo auf ein Asset verwiesen wird (mit Ausnahme des standardmäßigen oder nicht getaggten Namespace), einschließlich der Ansichten für IP-Adresse, Domain und Hash.

Beispielsweise sind in der Ansicht „IP-Adresse“ (wie unten gezeigt) Namespaces sowohl auf dem Tab „Assets“ als auch im Diagramm zur Verbreitung enthalten.

IP-Adressansicht mit Namespaces

IP-Adressansicht mit Namespaces

Aufnahmelabels

Wenn Sie die Suche weiter eingrenzen möchten, können Sie mithilfe von Aufnahmelabels separate Feeds einrichten. Eine vollständige Liste der unterstützten Aufnahmelabels finden Sie unter Unterstützte Standardparser.

Beispiele: drei Möglichkeiten zum Hinzufügen eines Namespace zu Logs

Die folgenden Beispiele zeigen drei verschiedene Möglichkeiten, wie Sie den Logs, die Sie in Ihr Chronicle-Konto aufnehmen, einen Namespace hinzufügen können.

Weisen Sie einen Namespace mit Chronicle-Forwarder zu.

Sie können einen Namespace konfigurieren, indem Sie ihn der Chronicle Forwarder-Konfigurationsdatei als Forwarder-spezifischen oder Collector-spezifischen Namespace hinzufügen. Im folgenden Beispiel für eine Forwarder-Konfiguration werden beide Typen veranschaulicht:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Wie in diesem Beispiel gezeigt, enthalten die Logs, die von WINEVTLOG stammen, das Namespace-Tag FORWARDER. Die Logs, die von NIX_SYSTEM stammen, enthalten das Namespace-Tag CORPORATE.

Dadurch wird der Log-Collector als Namespace festgelegt. Wenn Ihre Umgebung eine Mischung aus Logs enthält, die zu mehreren Namespaces gehören, und Sie diese Maschinen nicht segmentieren können (oder dies ist beabsichtigt), empfiehlt Google, mehrere Collectors für dieselbe Logquelle zu erstellen, die die Logs mithilfe von regulären Ausdrücken nach ihrem jeweiligen Namespace filtert.

Namespace über die Ingestion API zuweisen

Sie können auch einen Namespace konfigurieren, wenn Sie Ihre Logs über den Endpunkt unstructuredlogentries in der Chronicle Ingestion API senden, wie im folgenden Beispiel gezeigt:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

In diesem Beispiel ist der Namespace ein Textparameter des API-POST-Aufrufs. Logs von BIND\_DNS leiten ihre Logdaten mit dem Namespace-Tag FORWARDER weiter.

Namespace über die Chronicle-Feedverwaltung zuweisen

Wie im Nutzerhandbuch zur Feedverwaltung beschrieben, können Sie mit der Chronicle-Feedverwaltung verschiedene Logstreams in Ihrem Chronicle-Mandanten einrichten und verwalten.

Im folgenden Beispiel werden Office 365-Logs mit dem Namespace-Tag FORWARDER aufgenommen:

add_feed_namespace

Abbildung 1: Konfiguration der Feedverwaltung mit dem Namespace-Tag FORWARDER