Menggunakan namespace Aset

Saat menelusuri aset di Chronicle, misalnya menggunakan alamat IP atau nama host, Anda dapat melihat semua aktivitas yang terkait dengan aset tersebut. Terkadang ada beberapa aset yang terkait dengan alamat IP atau nama host yang sama (misalnya, dari penetapan alamat IP RFC 1918 yang tumpang tindih pada segmen jaringan yang berbeda).

Fitur nama aset memungkinkan Anda mengklasifikasikan kategori aset yang menggunakan lingkungan jaringan umum atau namespace, lalu melakukan penelusuran untuk aset tersebut dalam antarmuka pengguna Chronicle berdasarkan namespace-nya. Misalnya, Anda dapat membuat namespace untuk jaringan cloud, segmentasi perusahaan versus produksi, jaringan merger dan akuisisi, dan sebagainya.

Membuat dan menetapkan namespace ke data

Semua aset memiliki namespace yang dapat ditetapkan secara otomatis atau dikonfigurasi secara manual. Jika tidak ada namespace yang diberikan di log, namespace default akan dikaitkan dengan aset yang diberi label tanpa tag di UI Chronicle. Log yang diserap ke Chronicle sebelum dukungan namespace diberi label secara implisit sebagai bagian dari namespace default atau tanpa tag.

Anda dapat mengonfigurasi namespace menggunakan hal berikut:

Namespace di UI Chronicle

Anda akan melihat namespace yang dilampirkan ke aset di seluruh UI Chronicle, terutama setiap kali ada daftar aset, termasuk yang berikut:

  • Penelusuran UDM
  • Pemindaian Log Mentah
  • Insight Perusahaan
  • Tampilan deteksi

Saat menggunakan kotak penelusuran, namespace yang terkait dengan setiap aset akan ditampilkan. Memilih aset dalam namespace tertentu akan membukanya dalam tampilan Aset, yang menampilkan aktivitas lain yang terkait dengan namespace yang sama.

Aset apa pun yang tidak terkait dengan namespace akan ditetapkan ke namespace default. Namun, namespace default tidak ditampilkan dalam daftar.

Tampilan aset

Pada tampilan Aset, namespace ditunjukkan dalam judul aset di bagian atas halaman. Jika memilih menu drop-down dengan mengklik panah bawah, Anda dapat memilih namespace lain yang terkait dengan aset.

Tampilan aset dengan namespace Tampilan aset dengan namespace

Tampilan Alamat IP, Domain, dan Hash

Di seluruh antarmuka pengguna Chronicle, namespace ditampilkan di mana pun aset direferensikan (kecuali untuk namespace default atau tanpa tag), termasuk dalam alamat IP, Domain, dan tampilan Hash.

Misalnya, pada tampilan Alamat IP (seperti yang ditunjukkan di bawah), namespace disertakan di tab aset dan di grafik prevalensi.

Tampilan Alamat IP dengan namespace

Tampilan Alamat IP dengan namespace

Label penyerapan

Untuk lebih mempersempit penelusuran, Anda dapat menggunakan label penyerapan untuk menyiapkan feed terpisah. Untuk daftar lengkap label penyerapan yang didukung, lihat Parser default yang didukung.

Contoh: tiga cara menambahkan namespace ke log

Contoh berikut menggambarkan tiga cara berbeda untuk menambahkan namespace ke log yang Anda serap ke akun Chronicle.

Tetapkan namespace menggunakan Chronicle Forwarder.

Anda dapat mengonfigurasi namespace dengan menambahkannya ke file konfigurasi Chronicle Forwarder sebagai namespace khusus penerusan, atau namespace khusus kolektor. Contoh konfigurasi penerusan berikut mengilustrasikan kedua jenis tersebut:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Seperti yang ditunjukkan dalam contoh ini, log yang berasal dari WINEVTLOG menyertakan tag namespace FORWARDER. Log yang berasal dari NIX_SYSTEM menyertakan tag namespace CORPORATE.

Tindakan ini menetapkan namespace keseluruhan ke kolektor log. Jika lingkungan Anda berisi campuran log yang termasuk dalam beberapa namespace dan Anda tidak dapat menyegmentasikan mesin tersebut (atau ini memang sengaja), Google merekomendasikan untuk membuat beberapa kolektor untuk sumber log yang sama yang memfilter log ke namespace masing-masing menggunakan ekspresi reguler.

Menetapkan namespace menggunakan Ingestion API

Anda juga dapat mengonfigurasi namespace saat mengirim log melalui endpoint unstructuredlogentries dalam Chronicle penyerapan API seperti yang ditunjukkan dalam contoh berikut:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Dalam contoh ini, namespace adalah parameter isi panggilan API POST. Membuat log dari BIND\_DNS untuk meneruskan data log-nya dengan tag namespace FORWARDER.

Menetapkan namespace menggunakan Pengelolaan Feed Chronicle

Seperti yang dinyatakan dalam Panduan pengguna pengelolaan feed, Pengelolaan Feed Chronicle memungkinkan Anda menyiapkan dan mengelola berbagai streaming log dalam tenant Chronicle.

Pada contoh berikut, Log Office 365 akan diserap dengan tag namespace FORWARDER:

add_feed_namespace

Gambar 1: Konfigurasi Pengelolaan Feed dengan tag namespace FORWARDER