Logging der Event Threat Detection konfigurieren

>

Konfigurieren Sie Event Threat Detection und wählen Sie aus, wo die Event Threat Detection-Ausgabe geschrieben werden soll, wenn Sie nicht zur Premium-Stufe von Security Command Center migriert sind. Diese Anleitung bezieht sich auf die Legacy-UI der Security Command Center-Benutzeroberfläche, die nur sichtbar ist, wenn Sie nicht zur Premium- oder Standardstufe von Security Command Center migriert sind.

Wir empfehlen die Verwendung der folgenden Anfangseinstellungen:

  • Alle Projekte scannen
  • Alle Regeln aktivieren
  • Cloud Logging für Ihr Projekt aktivieren

Cloud Console

Projekte scannen

Im Event Threat Detection-Quellen-Tab können Sie auswählen, welche Projekte überwacht werden sollen.

So überwachen Sie alle Projekte:

  1. Rufen Sie in der Cloud Console die Seite Quellen von Event Threat Detection auf.
    Zur Seite "Quellen"
  2. Wählen Sie Alle aktuellen und zukünftigen Projekte einbeziehen aus.
  3. Klicken Sie auf Speichern.

Schließen Sie zum Überwachen der meisten Projekte die Projekte aus, die Sie nicht überwachen möchten:

  1. Rufen Sie in der Cloud Console die Seite Quellen von Event Threat Detection auf.
    Zur Seite "Quellen"
  2. Wählen Sie Eine Teilmenge der Projekte ausschließen aus.
  3. Wählen Sie die Projekte aus, die Sie nicht überwachen möchten.
  4. Klicken Sie auf Speichern.

Wenn Sie mehrere Projekte überwachen möchten, wählen Sie die einzubeziehenden Projekte aus:

  1. Rufen Sie in der Cloud Console die Seite Quellen von Event Threat Detection auf.
    Zur Seite "Quellen"
  2. Wählen Sie Teilmenge Ihrer Projekte einschließen aus.
  3. Wählen Sie die zu überwachenden Projekte aus. Wählen Sie mindestens ein Projekt aus.
  4. Klicken Sie auf Speichern.

Aktivierungsregeln

Auf dem Tab Event Threat Detection-Regeln können Sie auswählen, welche Regeln aktiviert werden sollen.

  1. Rufen Sie in der Cloud Console die Seite Event Threat Detection-Regeln auf.
    Zur Seite Regeln
  2. Klicken Sie unter Aktivieren neben einen Regelnamen, um diese Regel zu aktivieren oder zu deaktivieren.

Ausgabe konfigurieren

Im Tab Event Threat Detection-Ausgaben können Sie auswählen, wo Ihre Ergebnisse protokolliert werden sollen.

Event Threat Detection-Ergebnisse werden automatisch in Security Command Center geschrieben. Wenn Sie Ihre Ergebnisse außerdem in der Operations Suite von Google Cloud protokollieren möchten:

  1. Rufen Sie in der Cloud Console die Seite Ausgabe von Event Threat Detection auf.
    Zur Seite "Ausgabe"
  2. Aktivieren Sie Ergebnisse in der Operations Suite von Google Cloud protokollieren.
  3. Wählen Sie das Projekt aus, in das Sie die Logs speichern möchten. Sie können den Namen in Projekt eingeben oder auf Durchsuchen klicken und dann das Dataset auswählen.
  4. Klicken Sie auf Speichern.

API

Rufen Sie mit der API die folgenden curl-Befehle ab, um die empfohlenen Einstellungen für Event Threat Detection zu aktivieren.

Inhabertoken für Anmeldedaten abrufen

Verwenden Sie die folgenden gcloud-Toolbefehle, um das Inhabertoken für Ihr Dienstkonto abzurufen.

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

Projekte scannen

Wählen Sie mit sourceSettings aus, welche Projekte überwacht werden sollen. Aktivieren Sie Event Threat Detection für alle Projekte in Ihrer Organisation mit dem folgenden Befehl:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

Aktivierungsregeln

Verwenden Sie detectorSettings, um die zu aktivierenden Detektoren auszuwählen. Mit dem folgenden Befehl legen Sie alle Regeln auf true fest, um alle Event Threat Detection-Detektoren zu aktivieren:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

Ausgabe konfigurieren

Verwenden Sie sinkSettings zum Konfigurieren der Ausgabe. Verwenden Sie den folgenden Befehl, um das Projekt festzulegen, in dem die Ergebnisse protokolliert werden:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

Event Threat Detection deaktivieren

Setzen Sie sourceSettings, detectorSettings und sinkSettings auf leere Objekte, um Event Threat Detection zu deaktivieren.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

Nächste Schritte