Utilizzare gli spazi dei nomi degli asset

Quando cerchi un asset in Google Security Operations, ad esempio utilizzando un indirizzo IP o un host, puoi visualizzare tutte le attività associate all'asset. A volte sono presenti più asset associati allo stesso indirizzo IP o host (ad esempio a causa della sovrapposizione di assegnazioni di indirizzi IP RFC 1918 su diversi segmenti di rete).

La funzionalità di spaziatura dei nomi degli asset consente di classificare categorie di asset che condividono uno spazio dei nomi di rete comune, quindi eseguire ricerche per questi asset all'interno dell'interfaccia utente di Google Security Operations in base al relativo spazio dei nomi. Ad esempio, potresti creare spazi dei nomi per reti cloud, segmentazione aziendale rispetto a quella di produzione, reti di fusione e acquisizione e così via.

Crea e assegna uno spazio dei nomi ai dati

Tutti gli asset hanno uno spazio dei nomi definito automaticamente o configurato manualmente. Se non viene fornito uno spazio dei nomi nei log, agli asset è associato uno spazio dei nomi default con l'etichetta untagging (senza tag) nella UI di Google Security Operations. I log importati in Google Security Operations prima del supporto dello spazio dei nomi vengono etichettati implicitamente come parte dello spazio dei nomi predefinito o senza tag.

Puoi configurare gli spazi dei nomi utilizzando quanto segue:

• Versione Linux di Google Security Operations Forwarder.
• Alcuni dei parser di normalizzazione (ad esempio per Google Cloud) possono completare automaticamente lo spazio dei nomi (per Google Cloud, in base agli identificatori di progetto e VPC).
• API Google Security Operations Ingestion.
• Gestione dei feed di Google Security Operations.

Spazi dei nomi nella UI di Google Security Operations

Vedrai lo spazio dei nomi associato ai tuoi asset nell'interfaccia utente di Google Security Operations, soprattutto quando è presente un elenco di asset, che include:

• Ricerca UDM
• Scansione log non elaborati
• Insight aziendali
• Visualizzazioni rilevamento

Barra di ricerca

Quando utilizzi la barra di ricerca, vengono visualizzati gli spazi dei nomi associati a ciascun asset. Se selezioni un asset in uno spazio dei nomi specifico, questo viene aperto nella visualizzazione Asset, in cui vengono mostrate le altre attività associate allo stesso spazio dei nomi.

Tutti gli asset non associati a uno spazio dei nomi vengono assegnati allo spazio dei nomi predefinito. Tuttavia, lo spazio dei nomi predefinito non viene visualizzato negli elenchi.

Visualizzazione asset

Nella visualizzazione Asset, lo spazio dei nomi è indicato nel titolo della risorsa nella parte superiore della pagina. Se selezioni il menu a discesa facendo clic sulla Freccia giù, puoi selezionare gli altri spazi dei nomi associati all'asset.

Visualizzazione asset con spazi dei nomi

Viste Indirizzo IP, Dominio e Hash

Nell'interfaccia utente di Google Security Operations, gli spazi dei nomi sono visualizzati ovunque venga fatto riferimento a un asset (ad eccezione di quello predefinito o senza tag), anche nelle viste Indirizzo IP, Dominio e Hash.

Ad esempio, nella vista Indirizzo IP, gli spazi dei nomi sono inclusi sia nella scheda degli asset sia nel grafico di prevalenza.

Etichette di importazione

Per restringere ulteriormente la ricerca, puoi utilizzare le etichette di importazione per configurare feed separati. Per un elenco completo delle etichette di importazione supportate, vedi Parser predefiniti supportati.

Esempi: tre modi per aggiungere uno spazio dei nomi ai log

I seguenti esempi illustrano tre diversi modi per aggiungere uno spazio dei nomi ai log che importi nel tuo account Google Security Operations.

Assegna uno spazio dei nomi utilizzando Google Security Operations Forwarder

Puoi configurare uno spazio dei nomi aggiungendolo al file di configurazione di Google Security Operations Forwarder come spazio dei nomi specifico per l'inoltro o specifico del raccoglitore. La seguente configurazione del server di inoltro illustra entrambi i tipi:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Come mostrato in questo esempio, i log provenienti da WINEVTLOG includono il tag dello spazio dei nomi FORWARDER. I log provenienti da NIX_SYSTEM includono il tag dello spazio dei nomi CORPORATE.

Imposta uno spazio dei nomi complessivo per il raccoglitore log. Se il tuo ambiente contiene una combinazione di log che appartengono a più spazi dei nomi e non riesci a segmentare queste macchine (o questa è una scelta in base alla progettazione), Google consiglia di creare più raccoglitori per la stessa origine log che filtrano i log in base al rispettivo spazio dei nomi utilizzando espressioni regolari.

Assegnare uno spazio dei nomi utilizzando l'API Ingestion

Puoi anche configurare uno spazio dei nomi quando invii i log tramite l'endpoint unstructuredlogentries all'interno dell'API Google Security Operations Import, come mostrato nell'esempio seguente:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

In questo esempio, lo spazio dei nomi è un parametro body della chiamata POST dell'API. I log di BIND\_DNS inoltrano i dati di log con il tag dello spazio dei nomi FORWARDER.

Assegna uno spazio dei nomi utilizzando Google Security Operations Feed Management

Come indicato nella guida dell'utente alla gestione dei feed, Gestione dei feed di Google Security Operations consente di impostare e gestire vari flussi di log all'interno del tenant di Google Security Operations.

Nell'esempio seguente, i log di Office 365 verranno importati con il tag dello spazio dei nomi FORWARDER:

Figura 1: configurazione di gestione dei feed con il tag dello spazio dei nomi FORWARDER