Logs in ein SIEM-System exportieren

Auf dieser Seite wird beschrieben, wie Sie Logs aus Google Distributed Cloud (GDC) Air-Gapped in ein externes SIEM-System (Security Information and Event Management) exportieren. Diese Integration ermöglicht eine zentrale Log-Analyse und ein verbessertes Sicherheitsmonitoring.

Der Kern des Logexports besteht in der Bereitstellung einer benutzerdefinierten SIEMOrgForwarder-Ressource. Diese Ressource dient als Konfigurationsdatei, in der die Details der externen SIEM-Instanz angegeben werden, die die Logs empfangen soll. Durch die Definition dieser Parameter in der Datei SIEMOrgForwarder können Administratoren eine optimierte und sichere Pipeline für den Export von Protokollen einrichten.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen eine der zugehörigen SIEM Export-Organisationsrollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von benutzerdefinierten SIEMOrgForwarder-Ressourcen benötigen.

Je nach erforderlicher Zugriffsebene und Berechtigungen können Sie für diese Ressource in Ihrem Projekt-Namespace die Rollen „Ersteller“, „Editor“ oder „Betrachter“ erhalten. Weitere Informationen finden Sie unter IAM-Berechtigungen vorbereiten.

Nachdem Sie die erforderlichen Berechtigungen erhalten haben, führen Sie die folgenden Schritte aus, bevor Sie Protokolle in ein externes SIEM-System exportieren:

  1. Verbindung herstellen: Stellen Sie sicher, dass eine Verbindung zwischen GDC und dem externen SIEM-Ziel besteht. Arbeiten Sie bei Bedarf mit dem Infrastrukturbetreiber zusammen, um eine Uplink-Verbindung zu Ihrem Kundennetzwerk herzustellen.

  2. Umgebungsvariablen festlegen: Legen Sie die folgenden Umgebungsvariablen fest, um die Befehle auf dieser Seite auszuführen:

    • Der Pfad der kubeconfig-Datei:

      export KUBECONFIG=KUBECONFIG_PATH
      

      Ersetzen Sie KUBECONFIG_PATH durch den Pfad zur kubeconfig-Datei für den Management API-Server.

    • Ihr Projekt-Namespace:

      export PROJECT_NAMESPACE=PROJECT_NAMESPACE
      

Log-Export konfigurieren

Logs in ein externes SIEM-System exportieren:

  1. Geben Sie ein Token an, um den Logging-Stack mit dem SIEM-System zu verbinden. Dazu müssen Sie ein Secret in Ihrem Projekt-Namespace erstellen, um das Token zu speichern:

    cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
    apiVersion: v1
    kind: Secret
    metadata:
      name: SECRET_NAME
      namespace: ${PROJECT_NAMESPACE}
    type: Opaque
    stringData:
      SECRET_FIELD: TOKEN
    EOF
    

    Ersetzen Sie Folgendes:

    • SECRET_NAME: der Name Ihres Secrets.
    • SECRET_FIELD: Der Name des Felds, in dem Sie das Secret speichern möchten.
    • TOKEN: Ihr Token.
  2. Stellen Sie die benutzerdefinierte SIEMOrgForwarder-Ressource im Namespace Ihres Projekts bereit. Sie müssen den Logtyp angeben, indem Sie zwischen Audit- oder Betriebslogs auswählen. Wenn Sie den Logexport für beide Logtypen konfigurieren möchten, müssen Sie für jeden Typ eine SIEMOrgForwarder-Ressource bereitstellen.

    Das folgende Beispiel zeigt, wie eine Konfiguration auf eine benutzerdefinierte SIEMOrgForwarder-Ressource angewendet wird:

      cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
      apiVersion: logging.gdc.goog/v1
      kind: SIEMOrgForwarder
      metadata:
        name: SIEM_ORG_FORWARDER
        namespace: ${PROJECT_NAMESPACE}
      spec:
        source: LOG_TYPE
        splunkOutputs:
          - host: SIEM_HOST
            token:
              name: SECRET_NAME
              field: SECRET_FIELD
            tls: "TLS"
            netConnectTimeout: NET_CONNECT_TIMEOUT
      EOF
    

    Ersetzen Sie Folgendes:

    • SIEM_ORG_FORWARDER: der Name der SIEMOrgForwarder-Definitionsdatei.
    • LOG_TYPE: Der Logtyp, den Sie exportieren. Zulässige Werte sind audit und operational.
    • SIEM_HOST: der Name des SIEM-Hosts.
    • SECRET_NAME: der Name Ihres Secrets.
    • SECRET_FIELD: der Name des Felds, in dem Sie das Secret gespeichert haben.
    • TLS: Der Status von Transport Layer Security (TLS). Zulässige Werte sind "On" und "Off".
    • NET_CONNECT_TIMEOUT: Die maximale Zeit in Sekunden, die auf den Aufbau einer Verbindung gewartet werden soll. Ein Wert von 180 bedeutet beispielsweise, dass 180 Sekunden gewartet werden soll.
  3. Prüfen Sie den Status der bereitgestellten benutzerdefinierten SIEMOrgForwarder-Ressource:

      kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \
          -n ${PROJECT_NAMESPACE}
    

    Prüfen Sie je nach Logtyp den folgenden Status:

    • Prüfprotokolle: Prüfen Sie den Status von AuditLoggingReady.
    • Betriebslogs: Prüfen Sie den Status von OperationalLoggingReady.