Diese Seite wurde von der Cloud Translation API übersetzt.

Logs in ein SIEM-System exportieren

Auf dieser Seite wird beschrieben, wie Sie Logs aus Google Distributed Cloud (GDC) Air-Gapped in ein externes SIEM-System (Security Information and Event Management) exportieren. Diese Integration ermöglicht eine zentrale Log-Analyse und ein verbessertes Sicherheitsmonitoring.

Der Kern des Logexports besteht in der Bereitstellung einer benutzerdefinierten SIEMOrgForwarder-Ressource. Diese Ressource dient als Konfigurationsdatei, in der die Details der externen SIEM-Instanz angegeben werden, die die Logs empfangen soll. Durch die Definition dieser Parameter in der Datei SIEMOrgForwarder können Administratoren eine optimierte und sichere Pipeline für den Export von Protokollen einrichten.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen eine der zugehörigen SIEM Export-Organisationsrollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von benutzerdefinierten SIEMOrgForwarder-Ressourcen benötigen.

Je nach erforderlicher Zugriffsebene und Berechtigungen können Sie für diese Ressource in Ihrem Projekt-Namespace die Rollen „Ersteller“, „Editor“ oder „Betrachter“ erhalten. Weitere Informationen finden Sie unter IAM-Berechtigungen vorbereiten.

Nachdem Sie die erforderlichen Berechtigungen erhalten haben, führen Sie die folgenden Schritte aus, bevor Sie Protokolle in ein externes SIEM-System exportieren:

Verbindung herstellen: Stellen Sie sicher, dass eine Verbindung zwischen GDC und dem externen SIEM-Ziel besteht. Arbeiten Sie bei Bedarf mit dem Infrastrukturbetreiber zusammen, um eine Uplink-Verbindung zu Ihrem Kundennetzwerk herzustellen.
Umgebungsvariablen festlegen: Legen Sie die folgenden Umgebungsvariablen fest, um die Befehle auf dieser Seite auszuführen:
- Der Pfad der kubeconfig-Datei:
```
export KUBECONFIG=KUBECONFIG_PATH
```
  Ersetzen Sie KUBECONFIG_PATH durch den Pfad zur kubeconfig-Datei für den Management API-Server.
- Ihr Projekt-Namespace:
```
export PROJECT_NAMESPACE=PROJECT_NAMESPACE
```

Log-Export konfigurieren

Logs in ein externes SIEM-System exportieren:

Geben Sie ein Token an, um den Logging-Stack mit dem SIEM-System zu verbinden. Dazu müssen Sie ein Secret in Ihrem Projekt-Namespace erstellen, um das Token zu speichern:
```
cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: SECRET_NAME
  namespace: ${PROJECT_NAMESPACE}
type: Opaque
stringData:
  SECRET_FIELD: TOKEN
EOF
```
Ersetzen Sie Folgendes:
- SECRET_NAME: der Name Ihres Secrets.
- SECRET_FIELD: Der Name des Felds, in dem Sie das Secret speichern möchten.
- TOKEN: Ihr Token.
Hinweis: Sie sollten separate Tokens für Audit- und Betriebslogs verwenden und entsprechend zwei Secrets bereitstellen. Sie müssen in der benutzerdefinierten Ressource SIEMOrgForwarder auf den entsprechenden Secret-Namen verweisen.
Stellen Sie die benutzerdefinierte SIEMOrgForwarder-Ressource im Namespace Ihres Projekts bereit. Sie müssen den Logtyp angeben, indem Sie zwischen Audit- oder Betriebslogs auswählen. Wenn Sie den Logexport für beide Logtypen konfigurieren möchten, müssen Sie für jeden Typ eine SIEMOrgForwarder-Ressource bereitstellen.

Wichtig: Die benutzerdefinierte Ressource SIEMOrgForwarder muss sich im selben Namespace wie das Secret befinden, das Sie im vorherigen Schritt erstellt haben.

Das folgende Beispiel zeigt, wie eine Konfiguration auf eine benutzerdefinierte SIEMOrgForwarder-Ressource angewendet wird:
```
  cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
  apiVersion: logging.gdc.goog/v1
  kind: SIEMOrgForwarder
  metadata:
    name: SIEM_ORG_FORWARDER
    namespace: ${PROJECT_NAMESPACE}
  spec:
    source: LOG_TYPE
    splunkOutputs:
      - host: SIEM_HOST
        token:
          name: SECRET_NAME
          field: SECRET_FIELD
        tls: "TLS"
        netConnectTimeout: NET_CONNECT_TIMEOUT
  EOF
```
Ersetzen Sie Folgendes:
- SIEM_ORG_FORWARDER: der Name der SIEMOrgForwarder-Definitionsdatei.
- LOG_TYPE: Der Logtyp, den Sie exportieren. Zulässige Werte sind audit und operational.
- SIEM_HOST: der Name des SIEM-Hosts.
- SECRET_NAME: der Name Ihres Secrets.
- SECRET_FIELD: der Name des Felds, in dem Sie das Secret gespeichert haben.
- TLS: Der Status von Transport Layer Security (TLS). Zulässige Werte sind "On" und "Off".
- NET_CONNECT_TIMEOUT: Die maximale Zeit in Sekunden, die auf den Aufbau einer Verbindung gewartet werden soll. Ein Wert von 180 bedeutet beispielsweise, dass 180 Sekunden gewartet werden soll.
Prüfen Sie den Status der bereitgestellten benutzerdefinierten SIEMOrgForwarder-Ressource:
```
  kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \
      -n ${PROJECT_NAMESPACE}
```
Prüfen Sie je nach Logtyp den folgenden Status:
- Prüfprotokolle: Prüfen Sie den Status von AuditLoggingReady.
- Betriebslogs: Prüfen Sie den Status von OperationalLoggingReady.
  
  Hinweis :Es kann einige Minuten dauern, bis Änderungen wirksam werden und der Status aktualisiert wird.

Logs in ein SIEM-System exportieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Log-Export konfigurieren

Logs in ein SIEM-System exportieren