Nesta página, descrevemos como exportar registros do Google Distributed Cloud (GDC) isolado por air gap para um sistema externo de gerenciamento de informações e eventos de segurança (SIEM, na sigla em inglês). Essa integração permite a análise centralizada de registros e o monitoramento de segurança aprimorado.
A exportação de registros envolve a implantação de um recurso personalizado SIEMOrgForwarder.
Esse recurso funciona como um arquivo de configuração, especificando os detalhes da instância externa do SIEM designada para receber os registros. Ao definir esses parâmetros no arquivo SIEMOrgForwarder, os administradores podem estabelecer um pipeline de exportação de registros simplificado e seguro.
Antes de começar
Para receber as permissões necessárias para gerenciar recursos personalizados do SIEMOrgForwarder, peça ao administrador do IAM da organização para conceder a você um dos papéis associados da organização de exportação do SIEM.
Dependendo do nível de acesso e das permissões necessárias, você pode receber papéis de criador, editor ou leitor para esse recurso no namespace do projeto. Para mais informações, consulte Preparar permissões do IAM.
Depois de receber as permissões necessárias, conclua estas etapas antes de exportar os registros para um sistema SIEM externo:
Estabeleça a conectividade: verifique se há uma conexão entre o GDC e o destino do SIEM externo. Se necessário, colabore com o operador de infraestrutura (IO) para estabelecer uma conexão de uplink com a rede do cliente.
Definir variáveis de ambiente: defina as variáveis de ambiente a seguir para executar os comandos desta página:
O caminho do arquivo kubeconfig:
export KUBECONFIG=KUBECONFIG_PATHSubstitua
KUBECONFIG_PATHpelo caminho do arquivo kubeconfig do servidor da API Management.O namespace do projeto:
export PROJECT_NAMESPACE=PROJECT_NAMESPACE
Configurar a exportação de registros
Exporte os registros para um sistema SIEM externo:
Forneça um token para conectar a pilha de geração de registros ao sistema SIEM. Para realizar essa ação, crie um secret no namespace do projeto para armazenar o token:
cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f - apiVersion: v1 kind: Secret metadata: name: SECRET_NAME namespace: ${PROJECT_NAMESPACE} type: Opaque stringData: SECRET_FIELD: TOKEN EOFSubstitua:
SECRET_NAME: o nome do secret.SECRET_FIELD: o nome do campo em que você quer armazenar o secret.TOKEN: seu token.
Implante o recurso personalizado
SIEMOrgForwarderno namespace do projeto. Você precisa especificar o tipo de registro escolhendo entre registros de auditoria ou operacionais. Para configurar a exportação de registros para os dois tipos, implante um recursoSIEMOrgForwarderpara cada tipo.O exemplo a seguir mostra como aplicar uma configuração a um recurso personalizado
SIEMOrgForwarder:cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f - apiVersion: logging.gdc.goog/v1 kind: SIEMOrgForwarder metadata: name: SIEM_ORG_FORWARDER namespace: ${PROJECT_NAMESPACE} spec: source: LOG_TYPE splunkOutputs: - host: SIEM_HOST token: name: SECRET_NAME field: SECRET_FIELD tls: "TLS" netConnectTimeout: NET_CONNECT_TIMEOUT EOFSubstitua:
SIEM_ORG_FORWARDER: o nome do arquivo de definição deSIEMOrgForwarder.LOG_TYPE: o tipo de registro que você está exportando. Os valores aceitos sãoauditeoperational.SIEM_HOST: o nome do host do SIEM.SECRET_NAME: o nome do secret.SECRET_FIELD: o nome do campo em que você armazenou o secret.TLS: o status do Transport Layer Security (TLS). Os valores aceitos são"On"e"Off".NET_CONNECT_TIMEOUT: o tempo máximo em segundos para esperar que uma conexão seja estabelecida. Por exemplo, um valor de180significa esperar 180 segundos.
Verifique o status do recurso personalizado
SIEMOrgForwarderimplantado:kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \ -n ${PROJECT_NAMESPACE}De acordo com o tipo de registro, verifique o seguinte status:
- Registros de auditoria: verifique o status
AuditLoggingReady. Registros operacionais: verifique o status
OperationalLoggingReady.
- Registros de auditoria: verifique o status