Cette page a été traduite par l'API Cloud Translation.

Ingérer des données Google Cloud dans Google Security Operations

Cette page explique comment activer et désactiver l'ingestion de vos données Google Cloud dans Google Security Operations. Google Security Operations vous permet de stocker, de rechercher et d'examiner les informations de sécurité agrégées pour votre entreprise en remontant sur plusieurs mois ou plus, conformément à la durée de conservation de vos données.

Présentation

Deux options s'offrent à vous pour envoyer des données Google Cloud à Google Security Operations. Le choix de l'option appropriée dépend du type de journal.

Option 1: ingestion directe

Un filtre Cloud Logging spécial peut être configuré dans Google Cloud pour envoyer des types de journaux spécifiques à Google Security Operations en temps réel. Ces journaux sont générés par les services Google Cloud.

Google Security Operations reçoit les journaux même s'ils sont exclus au niveau du projet dans Google Cloud, mais ils sont inclus à la fois dans le filtre d'exportation des journaux et dans la journalisation Google Cloud au niveau de l'organisation. Pour exclure les journaux de Google Security Operations, vous devez mettre à jour le filtre d'exportation des journaux Google Security Operations dans Google Cloud.

Les types de journaux disponibles incluent:

Cloud Audit Logging
Cloud NAT
Cloud DNS
Pare-feu Cloud nouvelle génération
Cloud Intrusion Detection System
Cloud Load Balancing
Cloud SQL
Journaux des événements Windows
syslog Linux
Système système Linux
Zeek
Google Kubernetes Engine
Daemon Audit (auditd)
Apigee
reCAPTCHA Enterprise
Journaux Cloud Run (GCP_RUN)
Pare-feu Cloud nouvelle génération

Pour collecter les journaux de Compute Engine ou d'application (Apache, Nginx ou IIS, par exemple), utilisez l'option 2. Envoyez également une demande d'assistance à Google Security Operations afin de donner votre avis sur l'utilisation de l'assistance en tant que type de journal à l'aide de l'option 1.

Pour obtenir des filtres de journaux spécifiques et en savoir plus sur l'ingestion, consultez la page Exporter des journaux Google Cloud vers Google Security Operations.

D'autres métadonnées Google Cloud à utiliser comme contexte à des fins d'enrichissement peuvent également être envoyées à Google Security Operations. Pour en savoir plus, consultez la page Exporter des métadonnées d'éléments Google Cloud vers Google Security Operations.

Option 2: Google Cloud Storage

Cloud Logging peut acheminer les journaux vers Cloud Storage pour qu'ils soient récupérés par Google Security Operations de manière planifiée.

Pour savoir comment configurer Cloud Storage pour Google Security Operations, consultez la page Gestion des flux: Cloud Storage.

Avant de commencer

Avant de pouvoir ingérer vos données Google Cloud dans votre instance Google Security Operations, vous devez effectuer les étapes suivantes:

Contactez votre représentant Google Security Operations et obtenez le code d'accès unique dont vous avez besoin pour ingérer vos données Google Cloud.
Accordez les rôles IAM suivants, qui sont nécessaires pour accéder à la section Google Security Operations:
- Administrateur de service Chronicle (roles/chroniclesm.admin): rôle IAM permettant d'effectuer toutes les activités.
- Lecteur du service Chronicle (roles/chroniclesm.viewer): rôle IAM permettant uniquement d'afficher l'état de l'ingestion.
- Security Center Admin Editor (Éditeur de l'administrateur du centre de sécurité) (roles/securitycenter.adminEditor): nécessaire pour activer l'ingestion de métadonnées d'éléments cloud.
Si vous envisagez d'activer les métadonnées d'éléments cloud, vous devez également activer le service Google Cloud du niveau Standard de Security Command Center ou Premium. Pour en savoir plus, consultez la page Activer Security Command Center pour une organisation.

Accorder des rôles IAM

Vous pouvez attribuer les rôles IAM requis à l'aide de la console Google Cloud ou de la gcloud CLI.

Pour attribuer des rôles IAM à l'aide de la console Google Cloud, procédez comme suit:

Connectez-vous à l'organisation Google Cloud à laquelle vous souhaitez vous connecter et accédez à l'écran IAM en sélectionnant Products > IAM & Admin > IAM (Produits > IAM et administration > IAM).
Sur l'écran IAM, sélectionnez l'utilisateur, puis cliquez sur Modifier le membre.

Remarque :Si vous n'êtes pas dans la vue "Organisation" d'IAM, le bouton Modifier le membre est désactivé et vous devez accéder à l'écran IAM de l'organisation.
Sur l'écran "Modifier les autorisations", cliquez sur Ajouter un autre rôle et recherchez Google Security Operations pour trouver les rôles IAM.
Une fois que vous avez attribué les rôles, cliquez sur Enregistrer.

Pour attribuer des rôles IAM à l'aide de Google Cloud CLI, procédez comme suit:

Vérifiez que vous êtes connecté à la bonne organisation. Vérifiez cela en exécutant la commande gcloud init.
Pour accorder le rôle IAM d'administrateur du service Chronicle à l'aide de gcloud, exécutez la commande suivante:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Remplacez les éléments suivants :
- ORGANIZATION_ID: ID numérique de l'organisation.
- USER_EMAIL: adresse e-mail de l'administrateur.
Pour attribuer le rôle IAM "Lecteur du service Google Security Operations" à l'aide de gcloud, exécutez la commande suivante:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```

Pour accorder le rôle d'éditeur de l'administrateur du centre de sécurité à l'aide de gcloud, exécutez la commande suivante:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Activer l'ingestion de données Google Cloud

Les données Google Cloud sont ingérées à l'aide d'une API interne privée entre Security Command Center et Google Security Operations. L'ingestion n'atteint jamais le réseau externe et n'utilise jamais d'adresses IP. Google accède directement aux journaux Google Cloud en fonction de l'authentification effectuée à l'aide du code à usage unique fourni par Google Security Operations pour Security Command Center.

Pour activer l'ingestion de données de votre organisation Google Cloud dans votre instance Google Security Operations, procédez comme suit:

Accédez à la page "Google Security Operations" de la console Google Cloud.
Accéder à la page Google Security Operations
Saisissez votre code d'accès à usage unique dans le champ Code d'accès unique à Google Security Operations.
Pour autoriser Google Security Operations à utiliser Google Security Operations, cochez la case J'accepte les conditions d'utilisation de Chronicle de mes données Google Cloud.
Cliquez sur Connect Google Security Operations (Connecter Google Security Operations).

Vos données Google Cloud vont maintenant être envoyées à Google Security Operations. Vous pouvez utiliser les fonctionnalités d'analyse de Google Security Operations pour examiner tout problème lié à la sécurité. Les sections suivantes décrivent comment ajuster les types de données Google Cloud qui seront envoyés à Google Security Operations

Exporter les journaux Google Cloud vers Google Security Operations

Vous pouvez exporter les types de données Google Cloud suivants vers votre instance Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportés par le filtre par défaut)
- log_id("cloudaudit.googleapis.com/system_event") (exporté par le filtre par défaut)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exporté par le filtre par défaut)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Cela inclut les journaux de Google Cloud Armor et de Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITD:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajustez l'expression régulière du filtre de journal si nécessaire.
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Pour exporter vos journaux Google Cloud vers Google Security Operations, activez l'option Journaux Google Cloud. Tous les types de journaux Google Cloud répertoriés ci-dessus seront exportés vers votre instance Google Security Operations.

Pour connaître les bonnes pratiques concernant les filtres de journaux à utiliser, consultez la page Analyse des journaux de sécurité dans Google Cloud.

Exporter les paramètres des filtres

Par défaut, vos journaux d'audit Cloud (activités d'administration et événements système) et les journaux Cloud DNS sont envoyés à votre compte Google Security Operations. Toutefois, vous pouvez personnaliser le filtre d'exportation pour inclure ou exclure des types spécifiques de journaux. Le filtre d'exportation est basé sur le langage de requête de journalisation Google.

Pour définir un filtre personnalisé pour vos journaux, procédez comme suit:

Définissez votre filtre en créant un filtre personnalisé pour vos journaux à l'aide du langage de requête de journalisation. La documentation suivante explique comment définir ce type de filtre : /logging/docs/view/logging-query-language
Accédez à l'explorateur de journaux à l'aide du lien fourni dans l'onglet Export Filter Settings (Exporter les paramètres du filtre), copiez votre nouvelle requête dans le champ Query (Requête), puis cliquez sur Run Query (Exécuter la requête) pour la tester.

Vérifiez que les journaux correspondants affichés dans l'explorateur de journaux correspondent exactement à ce que vous souhaitez exporter vers Google Security Operations.

Effectuez les étapes suivantes à partir de l'onglet Export Filter Settings (Paramètres du filtre d'exportation) :

Lorsque le filtre est prêt, cliquez sur l'icône de modification et collez-le dans le champ Exporter le filtre.
Cliquez sur Enregistrer le filtre personnalisé. Votre nouveau filtre personnalisé fonctionne avec tous les nouveaux journaux exportés vers votre compte Google Security Operations.
Vous pouvez rétablir la version par défaut du filtre d'exportation en cliquant sur Rétablir les valeurs par défaut. Assurez-vous d'abord d'enregistrer une copie de votre filtre personnalisé.

Régler les filtres de journaux Cloud Audit Logs

Les journaux Cloud Audit d'accès aux données peuvent générer un grand volume de journaux sans trop de valeur de détection des menaces. Si vous choisissez d'envoyer ces journaux à Google Security Operations, vous devez filtrer les journaux générés par les activités de routine.

Le filtre d'exportation suivant enregistre les journaux d'accès aux données et exclut les événements à volume élevé, tels que les opérations de lecture et de liste de Cloud Storage et de Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Pour en savoir plus sur le réglage des journaux d'accès aux données Cloud Audit Data, cliquez ici.

Exporter les exemples de filtres

Les exemples de filtres d'exportation suivants montrent comment inclure ou exclure l'exportation de certains types de journaux vers votre compte Google Security Operations.

Exemple de filtre d'exportation 1: Inclure des types de journaux supplémentaires

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemple de filtre d'exportation 2: Inclure les journaux supplémentaires d'un projet spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un projet spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation 3: Inclure les journaux supplémentaires d'un dossier spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un dossier spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation 4: Exclure les journaux d'un projet spécifique

Le filtre d'exportation suivant exporte les journaux par défaut de l'ensemble de l'organisation Google Cloud, à l'exception d'un projet spécifique:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporter les métadonnées d'éléments Google Cloud vers Google Security Operations

Vous pouvez exporter les métadonnées de vos éléments Google Cloud vers Google Security Operations. Ces métadonnées d'éléments sont extraites de votre inventaire d'éléments Google Cloud et comprennent des informations sur vos éléments, vos ressources et vos identités, y compris les suivantes:

Environnement
Emplacement
Zone
Modèles de matériel
Relations de contrôle d'accès entre les ressources et les identités

Voici les types spécifiques de métadonnées d'éléments Google Cloud qui seront exportés vers votre compte Google Security Operations:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Voici quelques exemples de métadonnées d'éléments Google Cloud:

Nom de l'application : Google-iamSample/0.1
Nom du projet : projects/my-project

Exemples de champs de journal de contexte Resource Manager : assetType, resource.data.name et resource.version.

Pour en savoir plus sur les types de ressources, consultez Types de ressources compatibles avec l'inventaire des éléments cloud.

Pour exporter les métadonnées de vos éléments Google Cloud vers Google Security Operations, définissez le bouton Métadonnées d'éléments cloud sur "Activé".

Documentation de référence sur le mappage de champs et types de ressources compatibles

Le tableau suivant répertorie les analyseurs de contexte compatibles avec Google Security Operations, l'étiquette d'ingestion correspondante et les types de ressources compatibles.

Pour consulter la documentation de référence sur le mappage de l'analyseur de contexte, cliquez sur le nom de l'analyseur de contexte correspondant dans le tableau.

Nom du service	Étiquette d'ingestion	Types de ressources acceptés
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Exporter les résultats de Security Command Center vers Google Security Operations

Vous pouvez exporter les résultats ETD (Event Threat Detection) de Security Command Center Premium et tous les autres résultats vers Google Security Operations.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la présentation de Security Command Center.

Pour exporter les résultats du niveau Premium de Security Command Center vers Google Security Operations, activez l'option Résultats Premium de Security Command Center.

Exporter les données de protection des données sensibles vers Google Security Operations

Pour ingérer les métadonnées d'éléments de la protection des données sensibles (DLP_CONTEXT), procédez comme suit:

Remplissez la section précédente de ce document pour activer l'ingestion de données Google Cloud.
Configurez la protection des données sensibles pour profiler les données.
Configurez la configuration d'analyse pour publier des profils de données dans Google Security Operations.

Consultez la documentation sur la protection des données sensibles pour obtenir des informations détaillées sur la création de profils de données pour les données BigQuery.

Désactiver l'ingestion de données Google Cloud

Cochez la case Je souhaite déconnecter Google Security Operations et arrêter d'envoyer des journaux Google Cloud à Google Security Operations.
Cliquez sur Déconnecter Google Security Operations.

Dépannage

Si les relations entre les ressources et les identités ne sont pas présentes dans votre système Google Security Operations, définissez l'option Export Cloud logs to Google Security Operations (Exporter les journaux Cloud vers Google Security Operations) sur désactivée, puis à nouveau activée.
Les métadonnées des éléments sont régulièrement ingérées dans Google Security Operations. Il peut s'écouler plusieurs heures avant que les modifications soient visibles dans l'interface utilisateur et les API de Google Security Operations.

Étapes suivantes

Ouvrez votre compte Google Security Operations à l'aide de l'URL spécifique au client fournie par votre représentant Google Security Operations.
En savoir plus sur Google Security Operations