配置 Event Threat Detection 日志记录

>

本页面介绍了如何在 Security Command Center 旧版界面中配置 Event Threat Detection 以及如何管理 Event Threat Detection 日志。旧版界面是正式发布前版本的 Security Command Center,不适用于新订阅者。只有未订阅 Security Command Center 优质层级或标准层级的用户才能看到旧版界面。

Event Threat Detection 可监控组织的 Cloud Logging 数据流,并近乎实时地检测威胁。如需了解详情,请参阅 Event Threat Detection 概览

请按照以下说明在旧版界面中设置 Event Threat Detection 扫描并选择写入日志的位置。

我们建议您使用以下初始设置:

  • 扫描所有项目
  • 启用所有规则
  • 为您的项目启用 Cloud Logging

Cloud Console

扫描项目

在 Event Threat Detection Sources 标签页上,您可以选择要监控的项目。

如需监控所有项目,请执行以下操作:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 包括包含所有当前和未来的项目
  3. 点击保存

要监控大多数项目,请排除您不想监控的项目:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 排除您的部分项目
  3. 选择您不想监控的项目。
  4. 点击保存

要监控几个项目,请选择要包含的特定项目:

  1. 在 Cloud Console 中,转到 Event Threat Detection 来源 页面。
    转到“来源”页面
  2. 选择 包含部分项目
  3. 选择要监控的项目。您必须至少选择一个。
  4. 点击保存

启用规则

在 Event Threat Detection Rules 标签页中,您可以选择要启用的规则。

  1. 转到 Cloud Console 中的 Event Threat Detection 规则 页面。
    转到“规则”页面
  2. 启用 下,点击规则名称可启用或停用该规则。

配置输出

在 Event Threat Detection 输出 标签页上,您可以选择记录发现结果的位置。

Event Threat Detection 发现结果会自动写入 Security Command Center。如果您还将发现结果记录到 Google Cloud 的运维套件,请执行以下操作:

  1. 转到 Cloud Console 中的 Event Threat Detection 输出页面。
    转到“输出”页面
  2. 启用 将发现结果记录到 Google Cloud 的运维套件
  3. 选择要存储日志的项目。您可以在 项目 中输入其名称,或点击 浏览,然后选择它。
  4. 点击保存

API

要使用 API 启用建议的 Event Threat Detection 设置,请获取凭据不记名令牌,然后使用以下 curl 命令。

获取凭据不记名令牌

如需为您的服务帐号获取凭据不记名令牌,请使用以下 gcloud 工具命令。

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

扫描项目

使用 sourceSettings 选择要监控的项目。要为组织中的所有项目启用 Event Threat Detection,请使用以下命令:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

启用规则

使用 detectorSettings 选择要启用的检测器。要启用所有 Event Threat Detection,请使用以下命令将每条规则设置为 true

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

配置输出

使用 sinkSettings 配置输出。要设置记录发现结果的项目,请使用以下命令:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

停用 Event Threat Detection

如需停用 Event Threat Detection,请将 sourceSettingsdetectorSettingssinkSettings 设置为空对象。

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

后续步骤