Importa i dati di Google Cloud in Chronicle
Questa pagina mostra come abilitare e disabilitare l'importazione dei tuoi dati di Google Cloud in Chronicle. Chronicle ti consente di archiviare, cercare ed esaminare le informazioni di sicurezza aggregate della tua azienda per periodi o più mesi precedenti in base al periodo di conservazione dei dati.
Panoramica
Esistono due opzioni per inviare i dati di Google Cloud a Chronicle. La scelta dell'opzione giusta dipende dal tipo di log.
Opzione 1: importazione diretta
In Google Cloud può essere configurato uno speciale filtro di Cloud Logging per inviare tipi di log specifici a Chronicle in tempo reale. Questi log sono generati dai servizi Google Cloud.
Chronicle riceve i log anche se sono esclusi a livello di progetto in Google Cloud, ma sono inclusi sia nel filtro di esportazione dei log sia nel logging di Google Cloud a livello di organizzazione. Per escludere i log da Chronicle, devi aggiornare il filtro di esportazione dei log di Chronicle in Google Cloud.
I tipi di log disponibili includono:
- Audit log di Cloud
- Cloud NAT
- Cloud DNS
- Firewall Cloud di nuova generazione
- Sistema di rilevamento delle intrusioni Cloud
- Cloud Load Balancing
- Cloud SQL
- Log eventi di Windows
- Syslog Linux
- Sysmon Linux
- Zeek
- Google Kubernetes Engine
- Daemon di controllo (verificato)
- Apigee
- reCAPTCHA Enterprise
- Log di Cloud Run (
GCP_RUN
) - Cloud Next Generation Firewall
Per raccogliere i log delle applicazioni di Compute Engine o Google Kubernetes Engine (GKE) (ad esempio Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, apri un ticket di assistenza con Chronicle per fornire un feedback affinché venga preso in considerazione in futuro per l'assistenza come tipo di log tramite l'opzione 1.
Per filtri di log specifici e ulteriori dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Chronicle.
È possibile inviare a Chronicle anche metadati Google Cloud aggiuntivi da utilizzare come contesto a scopo di arricchimento. Per maggiori dettagli, consulta Esportazione dei metadati degli asset di Google Cloud in Chronicle.
Opzione 2: Google Cloud Storage
Cloud Logging può instradare i log a Cloud Storage per essere recuperati da Chronicle su base pianificata.
Per maggiori dettagli su come configurare Cloud Storage for Chronicle, consulta Gestione dei feed: Cloud Storage.
Prima di iniziare
Prima di poter importare i dati di Google Cloud nell'istanza di Chronicle, devi completare i seguenti passaggi:
Contatta il tuo rappresentante Chronicle e ricevi il codice di accesso una tantum necessario per importare i tuoi dati di Google Cloud.
Concedi i seguenti ruoli IAM necessari per accedere alla sezione Chronicle:
- Amministratore servizio Chronicle (
roles/chroniclesm.admin
): ruolo IAM per l'esecuzione di tutte le attività. - Chronicle Service Viewer (
roles/chroniclesm.viewer
): ruolo IAM per visualizzare solo lo stato dell'importazione. - Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
): necessario per attivare l'importazione di Metadati degli asset Cloud.
- Amministratore servizio Chronicle (
Se prevedi di abilitare Cloud Asset Metadata, devi abilitare anche il servizio Google Cloud di livello Standard di Security Command Center o di livello Premium di Security Command Center. Per maggiori informazioni, consulta l'articolo sull'attivazione di Security Command Center per un'organizzazione.
Concessione dei ruoli IAM
Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.
Per concedere i ruoli IAM utilizzando la console Google Cloud, segui questi passaggi:
- Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministratore > IAM.
Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.
Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Chronicle per trovare i ruoli IAM.
Una volta assegnati i ruoli, fai clic su Salva.
Per concedere i ruoli IAM utilizzando Google Cloud CLI, segui questi passaggi:
Assicurati di aver eseguito l'accesso all'organizzazione corretta. Verifica eseguendo il comando
gcloud init
.Per concedere il ruolo IAM Amministratore del servizio Chronicle utilizzando
gcloud
, esegui questo comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.admin
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID numerico dell'organizzazione.USER_EMAIL
: l'indirizzo email dell'amministratore.
Per concedere il ruolo IAM Visualizzatore servizio Chronicle utilizzando
gcloud
, esegui questo comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.viewer
Per concedere il ruolo Editor amministratore del Centro sicurezza utilizzando
gcloud
, esegui questo comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/securitycenter.adminEditor`
Abilitazione dell'importazione dati di Google Cloud
I dati di Google Cloud vengono importati utilizzando un'API interna privata tra Security Command Center e Chronicle. L'importazione non raggiunge mai la rete esterna e non utilizza mai indirizzi IP. Google accede ai log di Google Cloud direttamente in base all'autenticazione eseguita utilizzando il codice monouso fornito da Chronicle per Security Command Center.
Per abilitare l'importazione dati dalla tua organizzazione Google Cloud nell'istanza di Chronicle, completa questi passaggi:
Vai alla pagina Chronicle per la console Google Cloud.
Vai alla pagina ChronicleInserisci il tuo codice di accesso una tantum nel campo Codice di accesso una tantum di Chronicle.
Per acconsentire all'utilizzo di Chronicle, seleziona la casella Acconsento ai Termini e condizioni relativi all'utilizzo dei miei dati Google Cloud da parte di Chronicle.
Fai clic su Collega Chronicle.
I tuoi dati di Google Cloud verranno ora inviati a Chronicle. Puoi utilizzare le funzionalità di analisi di Chronicle per esaminare eventuali problemi relativi alla sicurezza. Le sezioni che seguono descrivono come modificare i tipi di dati di Google Cloud che verranno inviati a Chronicle.
Esportazione dei log di Google Cloud in Chronicle
Puoi esportare i seguenti tipi di dati di Google Cloud nell'istanza Chronicle:
- GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
- GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
- GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
- GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
- GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
- GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
- GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
- NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
- LINUX_SYSMON:
- log_id("sysmon.raw")
- WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
- BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
- KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
- VERIFICA:
- log_id("audit_log")
- GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Modifica l'espressione regolare del filtro log in base alle esigenze
- GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
- GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
- GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")
Per esportare i log di Google Cloud in Chronicle, imposta l'opzione Log di Google Cloud su Attivato. Tutti i tipi di log di Google Cloud elencati sopra verranno esportati nella tua istanza Chronicle.
Per le best practice su quali filtri di log utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.
Esporta impostazioni filtro
Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed eventi di sistema) e i log di Cloud DNS vengono inviati al tuo account Chronicle. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione si basa sul linguaggio di query di Google Logging.
Per definire un filtro personalizzato per i log, segui questi passaggi:
Definisci il filtro creando un filtro personalizzato per i log utilizzando il linguaggio delle query di logging. La seguente documentazione descrive come definire questo tipo di filtro: /logging/docs/view/logging-query-language
Vai a Esplora log utilizzando il link disponibile nella scheda Esporta impostazioni filtro, copia la nuova query nel campo Query e fai clic su Esegui query per testarla.
Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Chronicle.
Completa la seguente procedura dalla scheda Esporta impostazioni filtro:
Quando il filtro è pronto, fai clic sull'icona di modifica e incollalo nel campo Esporta filtro.
Fai clic su Salva filtro personalizzato. Il nuovo filtro personalizzato funziona su tutti i nuovi log esportati nel tuo account Chronicle.
Puoi reimpostare la versione predefinita del filtro di esportazione facendo clic su Ripristina impostazioni predefinite. Assicurati di salvare una copia del filtro personalizzato.
Ottimizzazione dei filtri di Cloud Audit log
I log degli accessi ai dati di Cloud Audit possono produrre un volume elevato di log senza un valore di rilevamento delle minacce elevato. Se scegli di inviare questi log a Chronicle, devi filtrare i log generati dalle attività di routine.
Il seguente filtro di esportazione acquisisce i log degli accessi ai dati ed esclude gli eventi a volumi elevati come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:
( `log_id("cloudaudit.googleapis.com/data_access")`
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Per ulteriori informazioni sull'ottimizzazione dei log degli accessi ai dati di audit Cloud, visita questa pagina.
Esporta esempi di filtri
I seguenti esempi di filtri di esportazione mostrano come includere o escludere determinati tipi di log dall'esportazione nel tuo account Chronicle.
Esempio di filtro di esportazione 1: includi tipi di log aggiuntivi
Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Esempio di filtro di esportazione 2: includi log aggiuntivi di un progetto specifico
Il seguente filtro di esportazione esporta i log di Access Transparency da un progetto specifico, oltre ai log predefiniti:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Esempio di filtro di esportazione 3: includi log aggiuntivi da una cartella specifica
Il seguente filtro di esportazione esporta i log di Access Transparency da una cartella specifica, oltre ai log predefiniti:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Esempio di filtro di esportazione 4: escludere i log da un progetto specifico
Il seguente filtro di esportazione esporta i log predefiniti dall'intera organizzazione Google Cloud, ad eccezione di un progetto specifico:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Esportazione dei metadati degli asset di Google Cloud in Chronicle
Puoi esportare i metadati degli asset di Google Cloud in Chronicle. Questi metadati degli asset vengono estratti dal tuo Google Cloud Asset Inventory e sono costituiti da informazioni su asset, risorse e identità, tra cui:
- Ambiente
- Località
- Zona
- Modelli hardware
- Relazioni di controllo degli accessi tra risorse e identità
Di seguito sono riportati i tipi specifici di metadati di Google Cloud Asset che verranno esportati nel tuo account Chronicle:
- GCP_BIGQUERY_CONTEXT
- GCP_CLOUD_FUNCTIONS_CONTEXT
- GCP_COMPUTE_CONTEXT
- GCP_IAM_CONTEXT
- GCP_IAM_ANALYSIS
- GCP_KUBERNETES_CONTEXT
- GCP_NETWORK_CONNECTIVITY_CONTEXT
- GCP_RESOURCE_MANAGER_CONTEXT
- GCP_SQL_CONTEXT
- GCP_STORAGE_CONTEXT
Di seguito sono riportati alcuni esempi di metadati di Google Cloud Asset:
- Nome applicazione:
Google-iamSample/0.1
- Nome progetto:
projects/my-project
Esempi di campi dei log di contesto di Resource Manager includono assetType
, resource.data.name
e resource.version
.
Per saperne di più sui tipi di risorse, consulta Tipi di risorse supportati da Cloud Asset Inventory.
Per esportare i metadati degli asset di Google Cloud in Chronicle, imposta l'opzione Metadati degli asset Cloud su Abilitato.
Riferimento per la mappatura dei campi e tipi di risorse supportati
La seguente tabella elenca i parser di contesto supportati da Chronicle, l'etichetta di importazione corrispondente e i tipi di risorse supportati.
Per visualizzare la documentazione di riferimento della mappatura del parser di contesto, fai clic sul nome del parser di contesto corrispondente nella tabella.
Esportazione dei risultati di Security Command Center in Chronicle
Puoi esportare i risultati di Security Command Center Premium Event Threat Detection (ETD) e tutti gli altri risultati in Chronicle.
Per saperne di più sui risultati di Event Threat Detection, consulta la panoramica di Security Command Center.
Per esportare i risultati del livello Premium di Security Command Center in Chronicle, imposta il pulsante di attivazione/disattivazione Risultati Security Command Center Premium su abilitato.
Esportazione dei dati di Sensitive Data Protection in Chronicle
Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT
), esegui queste operazioni:
- Abilita l'importazione dati di Google Cloud completando la sezione precedente di questo documento.
- Configura Sensitive Data Protection in modo da profilare i dati.
- Configura la configurazione della scansione per pubblicare profili di dati su Chronicle.
Consulta la documentazione sulla protezione dei dati sensibili per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery.
Disabilitazione dell'importazione dati Google Cloud
Seleziona la casella con l'etichetta Voglio disconnettere Chronicle e interrompere l'invio dei log di Google Cloud a Chronicle.
Fai clic su Disconnetti Chronicle.
Risoluzione dei problemi
- Se nel sistema Chronicle mancano le relazioni tra risorse e identità, imposta l'opzione Esporta log di Cloud in Chronicle su Disabilitata e poi nuovamente abilitata.
- I metadati delle risorse vengono importati periodicamente in Chronicle. Potrebbero trascorrere diverse ore prima che le modifiche siano visibili nella UI e nelle API di Chronicle.
Passaggi successivi
- Apri il tuo account Chronicle utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Chronicle.
- Scopri di più su Chronicle.