Esta página foi traduzida pela API Cloud Translation.

Exporte registos para um sistema SIEM

Esta página descreve como exportar registos do Google Distributed Cloud (GDC) isolado para um sistema de gestão de eventos de informações e segurança (SIEM) externo. Esta integração permite a análise de registos centralizada e a monitorização de segurança melhorada.

O núcleo da exportação de registos envolve a implementação de um recurso personalizado SIEMOrgForwarder. Este recurso funciona como um ficheiro de configuração, especificando os detalhes da instância de SIEM externa designada para receber os registos. Ao definir estes parâmetros no ficheiro SIEMOrgForwarder, os administradores podem estabelecer um pipeline de exportação de registos simplificado e seguro.

Antes de começar

Para receber as autorizações necessárias para gerir recursos personalizados, peça ao administrador de IAM da organização que lhe conceda uma das funções da organização de exportação do SIEM associadas.SIEMOrgForwarder

Consoante o nível de acesso e as autorizações de que precisa, pode obter funções de criador, editor ou leitor para este recurso no espaço de nomes do seu projeto. Para mais informações, consulte o artigo Prepare as autorizações de IAM.

Depois de obter as autorizações necessárias, conclua estes passos antes de exportar registos para um sistema SIEM externo:

Estabeleça a conetividade: certifique-se de que existe uma ligação entre o GDC e o destino SIEM externo. Se necessário, colabore com o operador de infraestrutura (IO) para estabelecer uma ligação de uplink à rede do cliente.
Defina variáveis de ambiente: defina as seguintes variáveis de ambiente para executar os comandos desta página:
- O caminho do ficheiro kubeconfig:
```
export KUBECONFIG=KUBECONFIG_PATH
```
  Substitua KUBECONFIG_PATH pelo caminho para o ficheiro kubeconfig do servidor da API Management.
- O espaço de nomes do seu projeto:
```
export PROJECT_NAMESPACE=PROJECT_NAMESPACE
```

Configure a exportação de registos

Exporte registos para um sistema SIEM externo:

Forneça um token para ligar a pilha de registo ao sistema SIEM. Para realizar esta ação, tem de criar um segredo no espaço de nomes do seu projeto para armazenar o token:
```
cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: SECRET_NAME
  namespace: ${PROJECT_NAMESPACE}
type: Opaque
stringData:
  SECRET_FIELD: TOKEN
EOF
```
Substitua o seguinte:
- SECRET_NAME: o nome do seu segredo.
- SECRET_FIELD: o nome do campo onde quer armazenar o segredo.
- TOKEN: o seu token.
Nota: considere usar tokens separados para registos de auditoria e operacionais, implementando dois segredos em conformidade. Tem de fazer referência ao nome do Secret correspondente no SIEMOrgForwarderrecurso personalizado
.
Implemente o recurso personalizado SIEMOrgForwarder no espaço de nomes do seu projeto. Tem de especificar o tipo de registo escolhendo entre registos de auditoria ou operacionais. Para configurar a exportação de registos para ambos os tipos de registos, tem de implementar um recurso SIEMOrgForwarder para cada tipo.

Importante: o recurso personalizado SIEMOrgForwarder tem de estar no mesmo espaço de nomes que o Secret criado no passo anterior.

O exemplo seguinte mostra como aplicar uma configuração a um SIEMOrgForwarder recurso personalizado:
```
  cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
  apiVersion: logging.gdc.goog/v1
  kind: SIEMOrgForwarder
  metadata:
    name: SIEM_ORG_FORWARDER
    namespace: ${PROJECT_NAMESPACE}
  spec:
    source: LOG_TYPE
    splunkOutputs:
      - host: SIEM_HOST
        token:
          name: SECRET_NAME
          field: SECRET_FIELD
        tls: "TLS"
        netConnectTimeout: NET_CONNECT_TIMEOUT
  EOF
```
Substitua o seguinte:
- SIEM_ORG_FORWARDER: o nome do ficheiro de definição SIEMOrgForwarder.
- LOG_TYPE: o tipo de registo que está a exportar. Os valores aceites são audit e operational.
- SIEM_HOST: o nome do anfitrião do SIEM.
- SECRET_NAME: o nome do seu segredo.
- SECRET_FIELD: o nome do campo onde armazenou o segredo.
- TLS: o estado do Transport Layer Security (TLS). Os valores aceites são "On" e "Off".
- NET_CONNECT_TIMEOUT: o tempo máximo em segundos para aguardar o estabelecimento de uma ligação. Por exemplo, um valor de 180 significa aguardar 180 segundos.
Verifique o estado do recurso personalizado SIEMOrgForwarder implementado:
```
  kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \
      -n ${PROJECT_NAMESPACE}
```
De acordo com o tipo de registo, verifique o seguinte estado:
- Registos de auditoria: verifique o estado do AuditLoggingReady.
- Registos operacionais: verifique o estado do OperationalLoggingReady.
  
  Nota: a propagação das alterações e a atualização do estado podem demorar alguns minutos.

Exporte registos para um sistema SIEM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Configure a exportação de registos

Exporte registos para um sistema SIEM