Logging der Event Threat Detection konfigurieren

>

Auf dieser Seite wird beschrieben, wie Sie Event Threat Detection in der Legacy-Benutzeroberfläche des Security Command Centers konfigurieren und so Event Threat Detection verwalten können. Die Legacy-Benutzeroberfläche ist eine Vorabversion von Security Command Center, die für neue Abonnenten nicht verfügbar ist. Die Legacy-Benutzeroberfläche ist nur für Nutzer sichtbar, die die Security Command Center Premium- oder Standardstufe nicht abonniert haben.

Event Threat Detection überwacht den Cloud Logging-Stream Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection.

Verwenden Sie die folgende Anleitung, um Event Threat Detection-Scans in der Legacy-UI einzurichten und auszuwählen, wo Logs geschrieben werden sollen.

Wir empfehlen die Verwendung der folgenden Anfangseinstellungen:

  • Alle Projekte scannen
  • Alle Regeln aktivieren
  • Cloud Logging für Ihr Projekt aktivieren

Cloud Console

Projekte scannen

Im Event Threat Detection-Quellen-Tab können Sie auswählen, welche Projekte überwacht werden sollen.

So überwachen Sie alle Projekte:

  1. Rufen Sie in der Cloud Console unter „Event Threat Detection“ die Seite Quellen auf.
    Zur Seite „Quellen“
  2. Wählen Sie Alle aktuellen und zukünftigen Projekte einbeziehen aus.
  3. Klicken Sie auf Speichern.

Schließen Sie zum Überwachen der meisten Projekte die Projekte aus, die Sie nicht überwachen möchten:

  1. Rufen Sie in der Cloud Console unter „Event Threat Detection“ die Seite Quellen auf.
    Zur Seite „Quellen“
  2. Wählen Sie Eine Teilmenge der Projekte ausschließen aus.
  3. Wählen Sie die Projekte aus, die Sie nicht überwachen möchten.
  4. Klicken Sie auf Speichern.

Wenn Sie mehrere Projekte überwachen möchten, wählen Sie die einzubeziehenden Projekte aus:

  1. Rufen Sie in der Cloud Console unter „Event Threat Detection“ die Seite Quellen auf.
    Zur Seite „Quellen“
  2. Wählen Sie Teilmenge Ihrer Projekte einschließen aus.
  3. Wählen Sie die zu überwachenden Projekte aus. Wählen Sie mindestens eine aus.
  4. Klicken Sie auf Speichern.

Aktivierungsregeln

Auf dem Tab Event Threat Detection-Regeln können Sie auswählen, welche Regeln aktiviert werden sollen.

  1. Rufen Sie in der Cloud Console die Seite Event Threat Detection-Regeln auf.
    Zur Seite Regeln
  2. Klicken Sie unter Aktivieren neben einen Regelnamen, um diese Regel zu aktivieren oder zu deaktivieren.

Ausgabe konfigurieren

Im Tab Event Threat Detection-Ausgaben können Sie auswählen, wo Ihre Ergebnisse protokolliert werden sollen.

Event Threat Detection-Ergebnisse werden automatisch in Security Command Center geschrieben. Wenn Sie Ihre Ergebnisse außerdem in der Operations Suite von Google Cloud protokollieren möchten:

  1. Rufen Sie in der Cloud Console unter „Event Threat Detection“ die Seite Ausgaben auf.
    Zur Seite „Ausgaben“
  2. Aktivieren Sie Ergebnisse in der Operations Suite von Google Cloud protokollieren.
  3. Wählen Sie das Projekt aus, in dem Sie die Logs speichern möchten. Sie können den Namen in Projekt eingeben oder auf Durchsuchen klicken und dann das Dataset auswählen.
  4. Klicken Sie auf Speichern.

API

Um die empfohlenen Einstellungen für Event Threat Detection mit der API zu aktivieren, rufen Sie ein Inhabertoken für Anmeldedaten ab und verwenden Sie dann die folgenden curl-Befehle.

Inhabertoken für Anmeldedaten abrufen

Verwenden Sie die folgenden gcloud-Toolbefehle, um das Inhabertoken für Ihr Dienstkonto abzurufen.

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

Projekte scannen

Wählen Sie mit sourceSettings die Projekte aus, die überwacht werden sollen. Verwenden Sie den folgenden Befehl, um Event Threat Detection für alle Projekte in Ihrer Organisation zu aktivieren:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

Aktivierungsregeln

Verwenden Sie detectorSettings, um die zu aktivierenden Detektoren auszuwählen. Mit dem folgenden Befehl legen Sie alle Regeln auf true fest, um alle Event Threat Detection-Detektoren zu aktivieren:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

Ausgabe konfigurieren

Verwenden Sie sinkSettings zum Konfigurieren der Ausgabe. Verwenden Sie den folgenden Befehl, um das Projekt festzulegen, in dem die Ergebnisse protokolliert werden:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

Event Threat Detection deaktivieren

Setzen Sie sourceSettings, detectorSettings und sinkSettings auf leere Objekte, um Event Threat Detection zu deaktivieren.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

Nächste Schritte