Utilizzare gli spazi dei nomi Asset

Quando cerchi un asset in Google Security Operations, ad esempio utilizzando un indirizzo IP o un host, puoi vedere tutte le attività associate a quell'asset. A volte sono presenti più asset associati allo stesso indirizzo IP o host (ad esempio, dalla sovrapposizione delle assegnazioni di indirizzi IP RFC 1918 su segmenti di rete diversi).

La funzionalità di pacing dei nomi degli asset consente di classificare categorie di asset che condividono un ambiente di rete o uno spazio dei nomi comune, per poi eseguire ricerche di questi asset nell'interfaccia utente di Google Security Operations in base allo spazio dei nomi. Ad esempio, potresti creare spazi dei nomi per reti cloud, segmentazione aziendale e di produzione, fusione e acquisizione e così via.

Crea e assegna lo spazio dei nomi ai dati

Tutti gli asset hanno uno spazio dei nomi definito automaticamente o configurato manualmente. Se nei log non viene fornito lo spazio dei nomi, agli asset viene associato uno predefinito e viene etichettato come senza tag nella UI di Google Security Operations. I log importati in Google Security Operations prima del supporto dello spazio dei nomi vengono implicitamente etichettati come parte dello spazio dei nomi predefinito o senza tag.

Puoi configurare gli spazi dei nomi utilizzando quanto segue:

• Versione Linux di Google Security Operations Forwarder.
• Alcuni parser di normalizzazione (ad esempio per Google Cloud) possono completare automaticamente lo spazio dei nomi (per Google Cloud, in base agli identificatori di progetto e VPC).
• API Google Security Operations Ingestion.
• Gestione dei feed delle operazioni di sicurezza di Google.

Spazi dei nomi nell'interfaccia utente di Google Security Operations

Vedrai lo spazio dei nomi associato ai tuoi asset nell'UI di Google Security Operations, soprattutto ogni volta che è presente un elenco di asset, tra cui:

• Ricerca UDM
• Scansione log non elaborati
• Insight aziendali
• Visualizzazioni del rilevamento

Barra di ricerca

Quando si utilizza la barra di ricerca, vengono visualizzati gli spazi dei nomi associati a ogni asset. Se selezioni un asset all'interno di uno spazio dei nomi specifico, questo viene aperto nella visualizzazione Asset, mostrando le altre attività associate allo stesso spazio dei nomi.

Tutti gli asset non associati a uno spazio dei nomi vengono assegnati allo spazio dei nomi predefinito. Tuttavia, lo spazio dei nomi predefinito non viene visualizzato negli elenchi.

Visualizzazione asset

Nella visualizzazione Asset, lo spazio dei nomi è indicato nel titolo della risorsa nella parte superiore della pagina. Se selezioni il menu a discesa facendo clic sulla Freccia giù, puoi selezionare gli altri spazi dei nomi associati all'asset.

Vista asset con spazi dei nomi

Visualizzazioni di indirizzo IP, dominio e hash

In tutta l'interfaccia utente di Google Security Operations, gli spazi dei nomi vengono mostrati ogni volta che viene fatto riferimento a un asset (ad eccezione dello spazio dei nomi predefinito o senza tag), anche all'interno delle viste indirizzo IP, dominio e hash.

Ad esempio, nella visualizzazione Indirizzo IP, gli spazi dei nomi sono inclusi sia nella scheda degli asset sia nel grafico della prevalenza.

Etichette di importazione

Per restringere ulteriormente la ricerca, puoi utilizzare le etichette di importazione per configurare feed separati. Per un elenco completo delle etichette di importazione supportate, consulta Analizzatori sintetici predefiniti supportati.

Esempi: tre modi per aggiungere uno spazio dei nomi ai log

I seguenti esempi illustrano tre diversi modi in cui puoi aggiungere uno spazio dei nomi ai log importati nell'account Google Security Operations.

Assegna uno spazio dei nomi utilizzando Google Security Operations Forwarder

Puoi configurare uno spazio dei nomi aggiungendolo al file di configurazione di Google Security Operations Forwarder come spazio dei nomi specifico per il forwarding o specifico per il raccoglitore. La seguente configurazione dell'inoltro di esempio illustra entrambi i tipi:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Come mostrato in questo esempio, i log provenienti da WINEVTLOG includono il tag dello spazio dei nomi FORWARDER. I log provenienti da NIX_SYSTEM includono il tag dello spazio dei nomi CORPORATE.

Imposta uno spazio dei nomi complessivo per il raccoglitore di log. Se il tuo ambiente contiene una combinazione di log che appartengono a più spazi dei nomi e non riesci a segmentare queste macchine (o questo è tutto per via della progettazione), Google consiglia di creare più raccoglitori per la stessa origine log che filtra i log nel rispettivo spazio dei nomi utilizzando espressioni regolari.

Assegna uno spazio dei nomi utilizzando l'API Ingestion

Puoi anche configurare uno spazio dei nomi quando invii i log tramite l'endpoint unstructuredlogentries all'interno dell'API di importazione di Google Security Operations, come mostrato nell'esempio seguente:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

In questo esempio, lo spazio dei nomi è un parametro del corpo della chiamata POST API. I log di BIND\_DNS inoltrano i dati di log con il tag dello spazio dei nomi FORWARDER.

Assegna uno spazio dei nomi utilizzando la gestione dei feed delle operazioni di sicurezza di Google

Come indicato nella guida dell'utente alla gestione dei feed, la gestione dei feed per le operazioni di sicurezza di Google consente di configurare e gestire vari flussi di log all'interno del tenant di Google Security Operations.

Nell'esempio seguente, i log di Office 365 verranno importati con il tag dello spazio dei nomi FORWARDER:

Figura 1: configurazione di gestione del feed con il tag dello spazio dei nomi FORWARDER