Configurer la journalisation d'Event Threat Detection

>

Cette page explique comment configurer Event Threat Detection et gérer les journaux Event Threat Detection dans l'ancienne interface utilisateur de Security Command Center. L'ancienne interface utilisateur est une version antérieure à Security Command Center qui n'est pas disponible pour les nouveaux abonnés. L'ancienne interface utilisateur n'est visible que par les utilisateurs qui ne se sont pas abonnés au niveau Premium ou Security Command Center.

Event Threat Detection surveille le flux Cloud Logging de votre organisation et détecte les menaces quasiment en temps réel. Pour en savoir plus, consultez la présentation de Event Threat Detection.

Suivez les instructions ci-dessous pour configurer les analyses Event Threat Detection dans l'ancienne interface utilisateur et choisir où écrire les journaux.

Nous vous recommandons de définir les paramètres initiaux suivants :

  • Analyser tous les projets
  • Activer toutes les règles
  • Activez Cloud Logging pour votre projet

Cloud Console

Analyser des projets

Dans l'onglet Sources de Event Threat Detection, vous pouvez choisir les projets à surveiller.

Pour surveiller tous les projets :

  1. Accédez à la page Sources d'Event Threat Detection dans Cloud Console.
    Accéder à la page "Sources"
  2. Sélectionnez Inclure tous les projets actuels et futurs.
  3. Cliquez sur Enregistrer.

Pour surveiller la plupart des projets, excluez les projets que vous ne souhaitez pas surveiller :

  1. Accédez à la page Sources d'Event Threat Detection dans Cloud Console.
    Accéder à la page "Sources"
  2. Sélectionnez Exclure un sous-ensemble de projets.
  3. Sélectionnez les projets que vous ne souhaitez pas surveiller.
  4. Cliquez sur Enregistrer.

Pour surveiller quelques projets, sélectionnez les projets spécifiques à inclure :

  1. Accédez à la page Sources d'Event Threat Detection dans Cloud Console.
    Accéder à la page "Sources"
  2. Sélectionnez Inclure un sous-ensemble de projets.
  3. Sélectionnez les projets à surveiller. Vous devez en sélectionner au moins un.
  4. Cliquez sur Enregistrer.

Activer des règles

Dans l'onglet Règles d'Event Threat Detection, vous pouvez sélectionner les règles à activer.

  1. Accédez à la page Règles de Event Threat Detection dans Cloud Console.
    Accéder à la page Règles
  2. Sous Activer, cliquez sur le nom d'une règle pour activer ou désactiver la règle.

Configurer le résultat

Dans l'onglet Résultats de Event Threat Detection, vous pouvez sélectionner l'emplacement de journalisation de vos résultats.

Les résultats de Event Threat Detection sont automatiquement écrits dans Security Command Center. Si vous souhaitez également enregistrer vos résultats dans la suite d'opérations Google Cloud :

  1. Accédez à la page Résultats d'Event Threat Detection dans Cloud Console.
    Accéder à la page "Résultats"
  2. Activez l'option Log findings to Google Cloud's operations suite (Consigner les résultats dans la suite d'opérations Google Cloud).
  3. Sélectionnez le projet dans lequel vous souhaitez stocker les journaux. Vous pouvez saisir son nom dans Projet ou cliquer sur Parcourir pour le sélectionner.
  4. Cliquez sur Enregistrer.

API

Pour activer les paramètres recommandés de Event Threat Detection à l'aide de l'API, obtenez un jeton de support d'identifiant, puis utilisez les commandes curl suivantes.

Obtenir un jeton de support d'identifiant

Pour obtenir le jeton de support d'identifiant pour votre compte de service, exécutez les commandes suivantes de l'outil gcloud.

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

Analyser des projets

Utilisez sourceSettings pour choisir les projets à surveiller. Pour activer Event Threat Detection pour tous les projets de votre organisation, exécutez la commande suivante :

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

Activer des règles

Sélectionnez les détecteurs à activer à l'aide de detectorSettings. Pour activer tous les détecteurs d'Event Threat Detection, exécutez la commande suivante afin de définir chaque règle sur true :

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

Configurer le résultat

Utilisez sinkSettings pour configurer le résultat. Pour définir le projet dans lequel les résultats sont enregistrés, exécutez la commande suivante :

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

Désactiver Event Threat Detection

Pour désactiver Event Threat Detection, définissez sourceSettings, detectorSettings et sinkSettings sur des objets vides.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

Étape suivante