Cette page a été traduite par l'API Cloud Translation.

Exporter des journaux vers un système SIEM

Cette page explique comment exporter des journaux depuis Google Distributed Cloud (GDC) isolé vers un système externe de gestion des informations et événements de sécurité (SIEM). Cette intégration permet une analyse centralisée des journaux et une surveillance renforcée de la sécurité.

L'exportation de journaux consiste principalement à déployer une ressource personnalisée SIEMOrgForwarder. Cette ressource sert de fichier de configuration et spécifie les détails de l'instance SIEM externe désignée pour recevoir les journaux. En définissant ces paramètres dans le fichier SIEMOrgForwarder, les administrateurs peuvent établir un pipeline d'exportation des journaux simplifié et sécurisé.

Avant de commencer

Pour obtenir les autorisations nécessaires pour gérer les ressources personnalisées SIEMOrgForwarder, demandez à votre administrateur IAM de l'organisation de vous accorder l'un des rôles associés à l'organisation d'exportation SIEM.

Selon le niveau d'accès et les autorisations dont vous avez besoin, vous pouvez obtenir des rôles de créateur, d'éditeur ou de lecteur pour cette ressource dans l'espace de noms de votre projet. Pour en savoir plus, consultez Préparer les autorisations IAM.

Une fois que vous avez obtenu les autorisations nécessaires, suivez ces étapes avant d'exporter les journaux vers un système SIEM externe :

Établissez la connectivité : assurez-vous qu'une connexion existe entre GDC et la destination SIEM externe. Si nécessaire, collaborez avec l'opérateur d'infrastructure (IO) pour établir une connexion montante à votre réseau client.
Définissez les variables d'environnement : définissez les variables d'environnement suivantes pour exécuter les commandes de cette page :
- Chemin d'accès au fichier kubeconfig :
```
export KUBECONFIG=KUBECONFIG_PATH
```
  Remplacez KUBECONFIG_PATH par le chemin d'accès au fichier kubeconfig du serveur de l'API Management.
- Espace de noms de votre projet :
```
export PROJECT_NAMESPACE=PROJECT_NAMESPACE
```

Configurer l'exportation des journaux

Exporter les journaux vers un système SIEM externe :

Fournissez un jeton pour connecter la pile de journalisation au système SIEM. Pour effectuer cette action, vous devez créer un secret dans l'espace de noms de votre projet afin de stocker le jeton :
```
cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: SECRET_NAME
  namespace: ${PROJECT_NAMESPACE}
type: Opaque
stringData:
  SECRET_FIELD: TOKEN
EOF
```
Remplacez les éléments suivants :
- SECRET_NAME : nom de votre secret.
- SECRET_FIELD : nom du champ dans lequel vous souhaitez stocker le secret.
- TOKEN : votre jeton.
Remarque : Envisagez d'utiliser des jetons distincts pour les journaux d'audit et opérationnels, et de déployer deux secrets en conséquence. Vous devez référencer le nom du secret correspondant dans la ressource personnalisée SIEMOrgForwarder.
Déployez la ressource personnalisée SIEMOrgForwarder dans l'espace de noms de votre projet. Vous devez spécifier le type de journal en choisissant entre les journaux d'audit et les journaux opérationnels. Pour configurer l'exportation des deux types de journaux, vous devez déployer une ressource SIEMOrgForwarder pour chaque type.

Important : La ressource personnalisée SIEMOrgForwarder doit se trouver dans le même espace de noms que l'Secret que vous avez créé à l'étape précédente.

L'exemple suivant montre comment appliquer une configuration à une ressource personnalisée SIEMOrgForwarder :
```
  cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
  apiVersion: logging.gdc.goog/v1
  kind: SIEMOrgForwarder
  metadata:
    name: SIEM_ORG_FORWARDER
    namespace: ${PROJECT_NAMESPACE}
  spec:
    source: LOG_TYPE
    splunkOutputs:
      - host: SIEM_HOST
        token:
          name: SECRET_NAME
          field: SECRET_FIELD
        tls: "TLS"
        netConnectTimeout: NET_CONNECT_TIMEOUT
  EOF
```
Remplacez les éléments suivants :
- SIEM_ORG_FORWARDER : nom du fichier de définition SIEMOrgForwarder.
- LOG_TYPE : type de journal que vous exportez. Les valeurs acceptées sont audit et operational.
- SIEM_HOST : nom de l'hôte SIEM.
- SECRET_NAME : nom de votre secret.
- SECRET_FIELD : nom du champ dans lequel vous avez stocké le secret.
- TLS : état de TLS (Transport Layer Security). Les valeurs acceptées sont "On" et "Off".
- NET_CONNECT_TIMEOUT : délai maximal en secondes pour l'établissement d'une connexion. Par exemple, une valeur de 180 signifie qu'il faut attendre 180 secondes.
Vérifiez l'état de la ressource personnalisée SIEMOrgForwarder déployée :
```
  kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \
      -n ${PROJECT_NAMESPACE}
```
Selon le type de journal, vérifiez l'état suivant :
- Journaux d'audit : vérifiez l'état de AuditLoggingReady.
- Journaux opérationnels : vérifiez l'état OperationalLoggingReady.
  
  Remarque : La propagation des modifications et la mise à jour de l'état peuvent prendre quelques minutes.

Exporter des journaux vers un système SIEM Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Configurer l'exportation des journaux

Exporter des journaux vers un système SIEM