Mit Asset-Namespaces arbeiten
Wenn Sie in Google Security Operations nach einem Asset suchen, z. B. über eine IP-Adresse oder eine Hostnamen enthält, kannst du alle mit diesem Asset verknüpften Aktivitäten sehen. Manchmal sind mehrere Assets mit derselben IP-Adresse oder Hostname (z. B. aus sich überschneidenden RFC 1918-IP-Adresszuweisungen auf verschiedenen Netzwerksegmenten)
Mit der Asset-Namensraumfunktion können Sie Kategorien von Assets klassifizieren, die eine gemeinsame Netzwerkumgebung oder einen gemeinsamen Namespace nutzen, und dann anhand des Namespaces nach diesen Assets in der Benutzeroberfläche von Google Security Operations suchen. Sie können beispielsweise Namespaces für Cloud-Netzwerke, die Segmentierung von Unternehmens- und Produktionsnetzwerken oder Fusions- und Akquisitionsnetzwerke erstellen.
Namespace erstellen und Daten zuweisen
Alle Assets haben einen Namespace, der entweder automatisch oder manuell definiert wird konfiguriert. Wenn in den Logs kein Namespace angegeben ist, wird den Assets ein default-Namespace zugeordnet, die mit einem Label versehen sind: untagged gekennzeichnet. Logs, die vor der Unterstützung von Namespaces in Google Security Operations aufgenommen wurden, werden implizit als Teil des Standard- oder nicht getaggten Namespaces gekennzeichnet.
So können Sie Namespaces konfigurieren:
- Linux-Version des Google Security Operations-Forwarders.
- Einige der Normalisierungsparser (z. B. für Google Cloud) können den Namespace automatisch ausfüllen (bei Google Cloud basierend auf Projekt- und VPC-IDs).
- Google Security Operations Ingestion API
- Google Security Operations Feeds Management
Namespaces in der Google Security Operations-Benutzeroberfläche
Der Namespace ist in der gesamten Google Security Operations-Benutzeroberfläche mit Ihren Assets verknüpft. insbesondere, wenn eine Liste mit Assets vorhanden ist, die unter anderem Folgendes enthalten:
- UDM-Suche
- Rohlogscan
- Unternehmensstatistiken
- Erkennungsansichten
Suchleiste
Bei Verwendung der Suchleiste werden die Namespaces, die mit jedes Asset angezeigt wird. Wenn Sie ein Asset in einem bestimmten Namespace auswählen, wird es in der Asset-Ansicht geöffnet. Dort werden auch die anderen Aktivitäten angezeigt, die mit demselben Namespace verknüpft sind.
Assets, die keinem Namespace zugeordnet sind, werden dem Standard-Namespace zugewiesen. Der Standard-Namespace wird jedoch nicht in Listen angezeigt.
Asset-Ansicht
In der Asset-Ansicht wird der Namespace im Titel des Assets oben auf der Seite angezeigt. Wenn Sie auf den Drop-down-Pfeil klicken, können Sie die anderen Namespaces auswählen, die mit dem Asset verknüpft sind.
Asset-Ansicht mit Namespaces
Ansichten für IP-Adressen, Domains und Hashwerte
In der Benutzeroberfläche von Google Security Operations werden Namespaces überall dort angezeigt, wo auf ein Asset verwiesen wird (außer im Standard- oder nicht getaggten Namespace), einschließlich in den Ansichten „IP-Adresse“, „Domain“ und „Hash“.
Beispielsweise sind in der Ansicht "IP-Adressen" Namespaces sowohl in auf dem Tab „Assets“ und im Verbreitungsdiagramm.
Datenaufnahmelabels
Mithilfe von Datenaufnahmelabels können Sie die Suche weiter eingrenzen und separate Feeds einrichten. Eine vollständige Liste der unterstützten Aufnahmelabels finden Sie unter Unterstützte Standardparser.
Beispiele: Drei Möglichkeiten, Logs einen Namespace hinzuzufügen
Die folgenden Beispiele veranschaulichen drei verschiedene Möglichkeiten, wie Sie den Logs, die Sie in Ihr Google Security Operations-Konto aufnehmen, einen Namespace hinzufügen können.
Namespace mithilfe von Google Security Operations Forwarder zuweisen
Sie können einen Namespace konfigurieren, indem Sie ihn der Konfigurationsdatei des Google Security Operations Forwarders als forwarderspezifischen oder collectorspezifischen Namespace hinzufügen. Das folgende Beispiel für eine Forwarder-Konfiguration veranschaulicht beide Typen:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Wie in diesem Beispiel gezeigt, enthalten die Logs aus WINEVTLOG das Namespace-Tag FORWARDER. Die Logs von NIX_SYSTEM enthalten das Namespace-Tag CORPORATE.
Dadurch wird dem Log-Erfassungstool ein Gesamt-Namespace zugewiesen. Wenn Ihre Umgebung Protokolle enthält, die zu mehreren Namespaces gehören, Sie diese Maschinen aber nicht segmentieren können (oder dies beabsichtigt ist), empfiehlt Google, mehrere Collectors für dieselbe Protokollquelle zu erstellen, die die Protokolle mithilfe von regulären Ausdrücken in den jeweiligen Namespace filtert.
Namespace mithilfe der Ingestion API zuweisen
Sie können einen Namespace auch konfigurieren, wenn Sie Ihre Logs über den Endpunkt unstructuredlogentries innerhalb der Google Security Operations Ingestion API senden, wie im folgenden Beispiel gezeigt:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
In diesem Beispiel ist der Namespace ein Bodyparameter des API-POST-Aufrufs. Logs von BIND\_DNS leiten ihre Logdaten mit dem Namespace-Tag FORWARDER weiter.
Namespace mithilfe der Google Security Operations-Feedverwaltung zuweisen
Wie im Nutzerhandbuch zur Feedverwaltung angegeben, können Sie mit der Google Security Operations-Feedverwaltung verschiedene Protokollstreams innerhalb Ihres Google Security Operations-Mandanten einrichten und verwalten.
Im folgenden Beispiel werden Office 365-Logs mit dem Namespace-Tag FORWARDER aufgenommen:
Abbildung 1: Konfiguration der Feedverwaltung mit dem Namespace-Tag FORWARDER