Importa i dati di Google Cloud in Chronicle

Questa pagina mostra come abilitare e disabilitare l'importazione dei tuoi dati di Google Cloud in Chronicle. Chronicle ti consente di archiviare, cercare ed esaminare le informazioni di sicurezza aggregate della tua azienda per periodi o più mesi precedenti in base al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati di Google Cloud a Chronicle. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud può essere configurato uno speciale filtro di Cloud Logging per inviare tipi di log specifici a Chronicle in tempo reale. Questi log sono generati dai servizi Google Cloud.

Chronicle riceve i log anche se sono esclusi a livello di progetto in Google Cloud, ma sono inclusi sia nel filtro di esportazione dei log sia nel logging di Google Cloud a livello di organizzazione. Per escludere i log da Chronicle, devi aggiornare il filtro di esportazione dei log di Chronicle in Google Cloud.

I tipi di log disponibili includono:

Audit log di Cloud
Cloud NAT
Cloud DNS
Firewall Cloud di nuova generazione
Sistema di rilevamento delle intrusioni Cloud
Cloud Load Balancing
Cloud SQL
Log eventi di Windows
Syslog Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Daemon di controllo (verificato)
Apigee
reCAPTCHA Enterprise
Log di Cloud Run (GCP_RUN)
Cloud Next Generation Firewall

Per raccogliere i log delle applicazioni di Compute Engine o Google Kubernetes Engine (GKE) (ad esempio Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, apri un ticket di assistenza con Chronicle per fornire un feedback affinché venga preso in considerazione in futuro per l'assistenza come tipo di log tramite l'opzione 1.

Per filtri di log specifici e ulteriori dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Chronicle.

È possibile inviare a Chronicle anche metadati Google Cloud aggiuntivi da utilizzare come contesto a scopo di arricchimento. Per maggiori dettagli, consulta Esportazione dei metadati degli asset di Google Cloud in Chronicle.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage per essere recuperati da Chronicle su base pianificata.

Per maggiori dettagli su come configurare Cloud Storage for Chronicle, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare i dati di Google Cloud nell'istanza di Chronicle, devi completare i seguenti passaggi:

Contatta il tuo rappresentante Chronicle e ricevi il codice di accesso una tantum necessario per importare i tuoi dati di Google Cloud.
Concedi i seguenti ruoli IAM necessari per accedere alla sezione Chronicle:
- Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione di tutte le attività.
- Chronicle Service Viewer (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
- Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor): necessario per attivare l'importazione di Metadati degli asset Cloud.
Se prevedi di abilitare Cloud Asset Metadata, devi abilitare anche il servizio Google Cloud di livello Standard di Security Command Center o di livello Premium di Security Command Center. Per maggiori informazioni, consulta l'articolo sull'attivazione di Security Command Center per un'organizzazione.

Concessione dei ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, segui questi passaggi:

Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministratore > IAM.
Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

Nota: se non ti trovi nella visualizzazione Organizzazione di IAM, il pulsante Modifica membro è disabilitato e devi passare alla schermata IAM dell'organizzazione.
Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Chronicle per trovare i ruoli IAM.
Una volta assegnati i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, segui questi passaggi:

Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando gcloud init.
Per concedere il ruolo IAM Amministratore del servizio Chronicle utilizzando gcloud, esegui questo comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID numerico dell'organizzazione.
- USER_EMAIL: l'indirizzo email dell'amministratore.

Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando gcloud, esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Per concedere il ruolo Editor amministratore del Centro sicurezza utilizzando gcloud, esegui questo comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Abilitazione dell'importazione dati di Google Cloud

I dati di Google Cloud vengono importati utilizzando un'API interna privata tra Security Command Center e Chronicle. L'importazione non raggiunge mai la rete esterna e non utilizza mai indirizzi IP. Google accede ai log di Google Cloud direttamente in base all'autenticazione eseguita utilizzando il codice monouso fornito da Chronicle per Security Command Center.

Per abilitare l'importazione dati dalla tua organizzazione Google Cloud nell'istanza di Chronicle, completa questi passaggi:

Vai alla pagina Chronicle per la console Google Cloud.
Vai alla pagina Chronicle
Inserisci il tuo codice di accesso una tantum nel campo Codice di accesso una tantum di Chronicle.
Per acconsentire all'utilizzo di Chronicle, seleziona la casella Acconsento ai Termini e condizioni relativi all'utilizzo dei miei dati Google Cloud da parte di Chronicle.
Fai clic su Collega Chronicle.

I tuoi dati di Google Cloud verranno ora inviati a Chronicle. Puoi utilizzare le funzionalità di analisi di Chronicle per esaminare eventuali problemi relativi alla sicurezza. Le sezioni che seguono descrivono come modificare i tipi di dati di Google Cloud che verranno inviati a Chronicle.

Esportazione dei log di Google Cloud in Chronicle

Puoi esportare i seguenti tipi di dati di Google Cloud nell'istanza Chronicle:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
VERIFICA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Modifica l'espressione regolare del filtro log in base alle esigenze
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare i log di Google Cloud in Chronicle, imposta l'opzione Log di Google Cloud su Attivato. Tutti i tipi di log di Google Cloud elencati sopra verranno esportati nella tua istanza Chronicle.

Log di Google Cloud

Per le best practice su quali filtri di log utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed eventi di sistema) e i log di Cloud DNS vengono inviati al tuo account Chronicle. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query di Google Logging.

Per definire un filtro personalizzato per i log, segui questi passaggi:

Definisci il filtro creando un filtro personalizzato per i log utilizzando il linguaggio delle query di logging. La seguente documentazione descrive come definire questo tipo di filtro: /logging/docs/view/logging-query-language
Vai a Esplora log utilizzando il link disponibile nella scheda Esporta impostazioni filtro, copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Chronicle.

Completa la seguente procedura dalla scheda Esporta impostazioni filtro:

Quando il filtro è pronto, fai clic sull'icona di modifica e incollalo nel campo Esporta filtro.
Fai clic su Salva filtro personalizzato. Il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nel tuo account Chronicle.
Puoi reimpostare la versione predefinita del filtro di esportazione facendo clic su Ripristina impostazioni predefinite. Assicurati di salvare una copia del filtro personalizzato.

Ottimizzazione dei filtri di Cloud Audit log

I log degli accessi ai dati di Cloud Audit possono produrre un volume elevato di log senza un valore di rilevamento delle minacce elevato. Se scegli di inviare questi log a Chronicle, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log degli accessi ai dati ed esclude gli eventi a volumi elevati come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per ulteriori informazioni sull'ottimizzazione dei log degli accessi ai dati di audit Cloud, visita questa pagina.

Esporta esempi di filtri

I seguenti esempi di filtri di esportazione mostrano come includere o escludere determinati tipi di log dall'esportazione nel tuo account Chronicle.

Esempio di filtro di esportazione 1: includi tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione 2: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di Access Transparency da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione 3: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di Access Transparency da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione 4: escludere i log da un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dall'intera organizzazione Google Cloud, ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportazione dei metadati degli asset di Google Cloud in Chronicle

Puoi esportare i metadati degli asset di Google Cloud in Chronicle. Questi metadati degli asset vengono estratti dal tuo Google Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:

Ambiente
Località
Zona
Modelli hardware
Relazioni di controllo degli accessi tra risorse e identità

Di seguito sono riportati i tipi specifici di metadati di Google Cloud Asset che verranno esportati nel tuo account Chronicle:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Di seguito sono riportati alcuni esempi di metadati di Google Cloud Asset:

Nome applicazione: Google-iamSample/0.1
Nome progetto: projects/my-project

Esempi di campi dei log di contesto di Resource Manager includono assetType, resource.data.name e resource.version.

Per saperne di più sui tipi di risorse, consulta Tipi di risorse supportati da Cloud Asset Inventory.

Per esportare i metadati degli asset di Google Cloud in Chronicle, imposta l'opzione Metadati degli asset Cloud su Abilitato.

Abilita i metadati degli asset Cloud.

Riferimento per la mappatura dei campi e tipi di risorse supportati

La seguente tabella elenca i parser di contesto supportati da Chronicle, l'etichetta di importazione corrispondente e i tipi di risorse supportati.

Per visualizzare la documentazione di riferimento della mappatura del parser di contesto, fai clic sul nome del parser di contesto corrispondente nella tabella.

Nome servizio	Etichetta di importazione	Tipi di risorse supportati
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Esportazione dei risultati di Security Command Center in Chronicle

Puoi esportare i risultati di Security Command Center Premium Event Threat Detection (ETD) e tutti gli altri risultati in Chronicle.

Per saperne di più sui risultati di Event Threat Detection, consulta la panoramica di Security Command Center.

Per esportare i risultati del livello Premium di Security Command Center in Chronicle, imposta il pulsante di attivazione/disattivazione Risultati Security Command Center Premium su abilitato.

Abilita i risultati del livello Premium di Security Command Center.

Esportazione dei dati di Sensitive Data Protection in Chronicle

Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT), esegui queste operazioni:

Abilita l'importazione dati di Google Cloud completando la sezione precedente di questo documento.
Configura Sensitive Data Protection in modo da profilare i dati.
Configura la configurazione della scansione per pubblicare profili di dati su Chronicle.

Consulta la documentazione sulla protezione dei dati sensibili per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery.

Disabilitazione dell'importazione dati Google Cloud

Seleziona la casella con l'etichetta Voglio disconnettere Chronicle e interrompere l'invio dei log di Google Cloud a Chronicle.
Fai clic su Disconnetti Chronicle.

Risoluzione dei problemi

Se nel sistema Chronicle mancano le relazioni tra risorse e identità, imposta l'opzione Esporta log di Cloud in Chronicle su Disabilitata e poi nuovamente abilitata.
I metadati delle risorse vengono importati periodicamente in Chronicle. Potrebbero trascorrere diverse ore prima che le modifiche siano visibili nella UI e nelle API di Chronicle.

Passaggi successivi

Apri il tuo account Chronicle utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Chronicle.
Scopri di più su Chronicle.