Trabalhar com namespaces de recursos
Quando você pesquisa um recurso nas Operações de segurança do Google, por exemplo, usando um endereço IP ou um nome do host, é possível ver toda a atividade associada a esse recurso. Às vezes, há vários recursos associados ao mesmo endereço IP ou nome do host (por exemplo, de atribuições de endereço IP RFC 1918 sobrepostas em diferentes segmentos de rede).
O recurso de namespace de recursos permite classificar categorias de recursos que compartilham um ambiente de rede ou namespace comum e, em seguida, realizar pesquisas por esses recursos na interface do usuário das Operações de Segurança do Google com base no namespace. Por exemplo, é possível criar namespaces para redes em nuvem, segmentação corporativa vs. produção, redes de fusão e aquisição e assim por diante.
Criar e atribuir namespace aos dados
Todos os recursos têm um namespace definido automaticamente ou configurado manualmente. Se nenhum namespace for fornecido nos registros, um namespace default será associado aos recursos rotulados como sem tags na IU de Operações de Segurança do Google. Os registros ingeridos no Google Security Operations antes do suporte a namespaces são rotulados implicitamente como parte do namespace padrão ou sem tags.
Configure namespaces usando o seguinte:
- Versão Linux do Encaminhador de operações de segurança do Google.
- Alguns dos analisadores de normalização (por exemplo, para o Google Cloud) podem preencher automaticamente o namespace (no Google Cloud, com base nos identificadores do projeto e da VPC).
- API Google Security Operations Ingestion.
- Gerenciamento de feeds das operações de segurança do Google.
Namespaces na IU de Operações de segurança do Google
Você verá o namespace anexado aos seus recursos em toda a interface das Operações de Segurança do Google, especialmente sempre que houver uma lista de recursos, incluindo o seguinte:
- Pesquisa no UDM
- Leitura de registros brutos
- Insights corporativos
- Visualizações de detecção
Barra de pesquisa
Ao usar a barra de pesquisa, os namespaces associados a cada recurso são exibidos. A seleção de um recurso em um namespace específico o abre na visualização "Recursos", mostrando as outras atividades associadas ao mesmo namespace.
Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não é exibido nas listas.
Visualização de recursos
Na visualização "Recursos", o namespace é indicado no título do recurso na parte superior da página. Se você selecionar o menu suspenso clicando na seta para baixo, poderá selecionar os outros namespaces associados ao recurso.
Visualização de recursos com namespaces
Visualizações de endereço IP, domínio e hash
Em toda a interface do usuário das Operações de segurança do Google, os namespaces são mostrados em qualquer lugar em que um recurso é referenciado (exceto o namespace padrão ou sem tags), inclusive no endereço IP, no domínio e nas visualizações de hash.
Por exemplo, na visualização "Endereço IP", os namespaces são incluídos na guia de recursos e no gráfico de prevalência.
Rótulos de ingestão
Para restringir ainda mais sua pesquisa, use rótulos de processamento para configurar feeds separados. Para acessar uma lista completa de rótulos de processamento, acesse analisadores padrão compatíveis.
Exemplos: três maneiras de adicionar um namespace aos registros
Os exemplos a seguir ilustram três maneiras diferentes de adicionar um namespace aos registros processados na sua conta das Operações de Segurança do Google.
Atribuir um namespace usando o encaminhador de operações de segurança do Google
Você pode configurar um namespace adicionando-o ao arquivo de configuração do encaminhador de Operações de Segurança do Google como um namespace específico do encaminhador ou específico do coletor. O exemplo de configuração de encaminhador a seguir ilustra os dois tipos:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Como mostrado neste exemplo, os registros originados de WINEVTLOG incluem a tag de namespace FORWARDER. Os registros originados de NIX_SYSTEM incluem a tag de namespace CORPORATE.
Isso define um namespace geral para o coletor de registros. Se o ambiente tiver uma combinação de registros que pertencem a vários namespaces e não for possível segmentar essas máquinas (ou isso foi intencional), o Google recomenda criar vários coletores para a mesma origem de registro que filtre os registros para os respectivos namespaces usando expressões regulares.
Atribuir um namespace usando a API Ingestion
Também é possível configurar um namespace ao enviar seus registros pelo endpoint unstructuredlogentries na API de ingestão das Operações de Segurança do Google, como mostrado no exemplo a seguir:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
Neste exemplo, o namespace é um parâmetro de corpo da chamada POST da API. Os registros do BIND\_DNS encaminham os dados de registro com a tag de namespace FORWARDER.
Atribuir um namespace usando o gerenciamento de feeds das Operações de Segurança do Google
Conforme indicado no Guia do usuário sobre o gerenciamento de feeds, o gerenciamento de feeds das operações de segurança do Google permite configurar e gerenciar vários fluxos de registros no seu locatário das operações de segurança do Google.
No exemplo a seguir, os registros do Office 365 serão ingeridos com a tag de namespace FORWARDER:
Figura 1: configuração do gerenciamento de feeds com a tag de namespace FORWARDER