配置 Event Threat Detection 日志记录

>

配置 Event Threat Detection,并选择将 Event Threat Detection 输出写入何处(如果您尚未迁移到 Security Command Center 优质层级)。本指南适用于 Security Command Center 旧版界面,仅在您尚未迁移到 Security Command Center 优质或标准层级后才会显示。

我们建议您使用以下初始设置:

  • 扫描所有项目
  • 启用所有规则
  • 为您的项目启用 Cloud Logging

Cloud Console

扫描项目

在 Event Threat Detection Sources 标签页上,您可以选择要监控的项目。

如需监控所有项目,请执行以下操作:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 包括包含所有当前和未来的项目
  3. 点击保存

要监控大多数项目,请排除您不想监控的项目:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 排除您的部分项目
  3. 选择您不想监控的项目。
  4. 点击保存

要监控几个项目,请选择要包含的特定项目:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 包含部分项目
  3. 选择要监控的项目。您必须至少选择一个。
  4. 点击保存

启用规则

在 Event Threat Detection Rules 标签页中,您可以选择要启用的规则。

  1. 转到 Cloud Console 中的 Event Threat Detection 规则 页面。
    转到“规则”页面
  2. 启用 下,点击规则名称可启用或停用该规则。

配置输出

在 Event Threat Detection 输出 标签页上,您可以选择记录发现结果的位置。

Event Threat Detection 发现结果会自动写入 Security Command Center。如果您还将发现结果记录到 Google Cloud 的运维套件,请执行以下操作:

  1. 转到 Cloud Console 中的 Event Threat Detection 输出页面。
    转到“输出”页面
  2. 启用 将发现结果记录到 Google Cloud 的运维套件
  3. 选择要存储日志的项目。您可以在 项目 中输入其名称,或点击 浏览,然后选择它。
  4. 点击保存

API

要使用 API 启用建议的 Event Threat Detection 设置,请获取凭据不记名令牌,然后使用以下 curl 命令。

获取凭据不记名令牌

如需为您的服务帐号获取凭据不记名令牌,请使用以下 gcloud 工具命令。

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

扫描项目

使用 sourceSettings 选择要监控的项目。要为组织中的所有项目启用 Event Threat Detection,请使用以下命令:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

启用规则

使用 detectorSettings 选择要启用的检测器。要启用所有 Event Threat Detection,请使用以下命令将每条规则设置为 true

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

配置输出

使用 sinkSettings 配置输出。要设置记录发现结果的项目,请使用以下命令:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

停用 Event Threat Detection

如需停用 Event Threat Detection,请将 sourceSettingsdetectorSettingssinkSettings 设置为空对象。

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

后续步骤