Mit Asset-Namespaces arbeiten
Wenn Sie in Google Security Operations nach einem Asset suchen, z. B. anhand einer IP-Adresse oder eines Hostnamens, können Sie alle Aktivitäten sehen, die mit diesem Asset verknüpft sind. Manchmal sind mehrere Assets mit derselben IP-Adresse oder demselben Hostnamen verknüpft (z. B. aufgrund von sich überschneidenden IP-Adresszuweisungen gemäß RFC 1918 in verschiedenen Netzwerksegmenten).
Mit der Funktion zur Benennung von Assets können Sie Kategorien von Assets klassifizieren, die eine gemeinsame Netzwerkumgebung oder einen gemeinsamen Namespace nutzen, und dann anhand ihres Namespace in der Google Security Operations-Benutzeroberfläche nach diesen Assets suchen. Sie könnten beispielsweise Namespaces für Cloud-Netzwerke, Unternehmenssegmentierung im Vergleich zur Produktsegmentierung, Fusions- und Übernahmenetzwerke usw. erstellen.
Namespace erstellen und zu Daten zuweisen
Alle Assets haben einen Namespace, der entweder automatisch definiert oder manuell konfiguriert ist. Wenn in den Logs kein Namespace angegeben ist, wird den Assets ein default-Namespace zugeordnet, der in der Google Security Operations-UI als untagged gekennzeichnet ist. Logs, die vor der Namespace-Unterstützung in Google Security Operations aufgenommen wurden, werden implizit als Teil des standardmäßigen oder nicht getaggten Namespace gekennzeichnet.
Zum Konfigurieren von Namespaces können Sie Folgendes verwenden:
- Linux-Version von Google Security Operations Forwarder
- Einige der Normalisierungsparser (z. B. für Google Cloud) können Namespaces automatisch auffüllen (für Google Cloud basierend auf Projekt- und VPC-IDs).
- Google Security Operations Ingestion API
- Google Security Operations-Feeds verwalten.
Namespaces in der Google Security Operations-UI
Sie sehen den Namespace, der Ihren Assets in der gesamten Google Security Operations-UI zugeordnet ist, insbesondere wenn eine Liste von Assets vorhanden ist. Dazu gehören:
- UDM-Suche
- RAW-Log-Scan
- Unternehmensstatistiken
- Erkennungsansichten
Suchleiste
Wenn Sie die Suchleiste verwenden, werden die mit jedem Asset verknüpften Namespaces angezeigt. Wenn Sie ein Asset in einem bestimmten Namespace auswählen, wird es in der Asset-Ansicht geöffnet. Dort werden die anderen Aktivitäten angezeigt, die mit diesem Namespace verknüpft sind.
Jedes Asset, das mit keinem Namespace verknüpft ist, wird dem Standard-Namespace zugewiesen. Der Standard-Namespace wird jedoch nicht in Listen angezeigt.
Asset-Ansicht
In der Asset-Ansicht wird der Namespace im Titel des Assets oben auf der Seite angegeben. Wenn Sie auf den Abwärtspfeil klicken, können Sie das Drop-down-Menü auswählen, um die anderen Namespaces auszuwählen, die mit dem Asset verknüpft sind.
Asset-Ansicht mit Namespaces
IP-Adress-, Domain- und Hash-Ansichten
In der gesamten Google Security Operations-Benutzeroberfläche werden Namespaces überall dort angezeigt, wo auf ein Asset verwiesen wird (mit Ausnahme des Standard-Namespace oder des Namespace ohne Tags), einschließlich der Ansichten "IP-Adresse", "Domain" und "Hash".
Beispielsweise sind in der Ansicht „IP-Adresse“ Namespaces sowohl auf dem Tab „Assets“ als auch im Verbreitungsdiagramm enthalten.
Aufnahmelabels
Wenn Sie die Suche weiter eingrenzen möchten, können Sie mithilfe von Aufnahmelabels separate Feeds einrichten. Eine vollständige Liste der unterstützten Aufnahmelabels finden Sie unter Unterstützte Standardparser.
Beispiele: drei Möglichkeiten zum Hinzufügen eines Namespace zu Logs
Die folgenden Beispiele zeigen drei verschiedene Möglichkeiten, wie Sie den Logs, die Sie in Ihr Google Security Operations-Konto aufnehmen, einen Namespace hinzufügen können.
Namespace mit Google Security Operations Forwarder zuweisen
Sie können einen Namespace konfigurieren, indem Sie ihn der Konfigurationsdatei von Google Security Operations Forwarder als Forwarder-spezifischen oder Collector-spezifischen Namespace hinzufügen. Im folgenden Beispiel für eine Forwarder-Konfiguration werden beide Typen veranschaulicht:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Wie in diesem Beispiel gezeigt, enthalten die Logs, die von WINEVTLOG
stammen, das Namespace-Tag FORWARDER
. Die Logs von NIX_SYSTEM
enthalten das Namespace-Tag CORPORATE
.
Dadurch wird ein allgemeiner Namespace für den Log-Collector festgelegt. Wenn Ihre Umgebung eine Mischung aus Logs enthält, die zu mehreren Namespaces gehören, und Sie diese Maschinen nicht segmentieren können (oder das ist absichtlich), empfiehlt Google, mehrere Collectors für dieselbe Logquelle zu erstellen, die die Logs mithilfe von regulären Ausdrücken für den jeweiligen Namespace filtert.
Namespace mithilfe der Ingestion API zuweisen
Sie können auch einen Namespace konfigurieren, wenn Sie Ihre Logs über den Endpunkt unstructuredlogentries
in der Google Security Operations Ingestion API senden, wie im folgenden Beispiel gezeigt:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
In diesem Beispiel ist der Namespace ein Textparameter des API POST-Aufrufs. Logs von BIND\_DNS
leiten ihre Logdaten mit dem Namespace-Tag FORWARDER
weiter.
Namespace mithilfe der Google Security Operations Feeds Management zuweisen
Wie im Nutzerhandbuch für die Feedverwaltung beschrieben, können Sie mit der Google Security Operations Feeds Management verschiedene Protokollstreams auf Ihrem Google Security Operations-Mandanten einrichten und verwalten.
Im folgenden Beispiel werden Office 365-Protokolle mit dem Namespace-Tag FORWARDER
aufgenommen:
Abbildung 1: Konfiguration der Feedverwaltung mit dem Namespace-Tag FORWARDER