Questa pagina è stata tradotta dall'API Cloud Translation.

Importa i dati di Google Cloud in Google Security Operations

Questa pagina mostra come abilitare e disabilitare l'importazione dei dati Google Cloud in Google Security Operations. Google Security Operations consente di archiviare, cercare e esaminare le informazioni di sicurezza aggregate per la tua azienda mesi o più in base al tuo periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati di Google Cloud a Google Security Operations. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud è possibile configurare un filtro speciale di Cloud Logging da inviare tipi di log specifici per Google Security Operations in tempo reale. Questi log vengono generati dai servizi Google Cloud.

Google Security Operations riceve i log anche se sono esclusi a livello di progetto in Google Cloud, ma inclusi sia nel filtro di esportazione dei log che a livello di organizzazione logging di Google Cloud. Per escludere i log da Google Security Operations, devi aggiornare il filtro di esportazione dei log di Google Security Operations in Google Cloud.

I tipi di log disponibili includono:

Audit log di Cloud
Cloud NAT
Cloud DNS
Firewall di nuova generazione Cloud
Sistema di rilevamento delle intrusioni nel cloud
Cloud Load Balancing
Cloud SQL
Log eventi di Windows
SysLog di Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Daemon di controllo (verificato)
Apigee
reCAPTCHA Enterprise
Log di Cloud Run (GCP_RUN)
Cloud Next Generation Firewall

a raccogliere i log di Compute Engine o dell'applicazione. (ad es. Apache, Nginx o IIS), utilizza l'opzione 2. Inoltre, presenta un ticket di assistenza a Google Security Operations per fornire feedback in futuro per consentirne il supporto come tipo di log utilizzando l'opzione 1.

Per filtri di log specifici e altri dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Google Security Operations

Metadati Google Cloud aggiuntivi da utilizzare come contesto a scopo di arricchimento può essere inviato anche a Google Security Operations. Consulta Esportazione dei metadati degli asset Google Cloud in Google Security Operations per ulteriori dettagli.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage deve essere recuperato da Google Security Operations in base a un programma.

Per maggiori dettagli su come configurare Cloud Storage per Google Security Operations, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare i dati di Google Cloud nella tua istanza Google Security Operations, devi completare questi passaggi:

Contatta il tuo rappresentante Google Security Operations e ottieni l'accesso una tantum. il codice necessario per importare i dati Google Cloud.
Concedi i seguenti ruoli IAM necessaria per accedere alla sezione Google Security Operations:
- Amministratore servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per l'esecuzione tutte le attività.
- Chronicle Service Viewer (roles/chroniclesm.viewer): ruolo IAM solo per la visualizzazione lo stato di importazione.
- Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor): obbligatorio per abilitare l'importazione dei metadati degli asset cloud.
Se prevedi di abilitare Metadati di asset cloud, devi abilitare anche il servizio Google Cloud di livello Standard di Security Command Center o di livello Premium di Security Command Center. Vedi Attivare Security Command Center per un'organizzazione per ulteriori informazioni.

Concedi ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud oppure utilizzando con gcloud CLI.

Per concedere i ruoli IAM utilizzando la console Google Cloud, completa i seguenti passaggi:

Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai nella schermata IAM utilizzando Prodotti > IAM e Amministratore > IAM.
Dalla schermata IAM, seleziona l'utente e fai clic su Modifica membro.

Nota: se non ti trovi nella visualizzazione Organizzazione di IAM, seleziona il pulsante Modifica membro. è disabilitata e devi accedere alla schermata IAM dell'organizzazione.
Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google Security Operations. per trovare i ruoli IAM.
Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere i ruoli IAM utilizzando Google Cloud CLI, completa questi passaggi:

Assicurati di aver eseguito l'accesso all'organizzazione corretta. Per verificarlo, esegui il comando gcloud init.
Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui questo comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Sostituisci quanto segue:
- ORGANIZATION_ID: l'ID numerico dell'organizzazione.
- USER_EMAIL: indirizzo email dell'amministratore.

Per concedere il ruolo IAM Visualizzatore Google Security Operations Service utilizzando gcloud, esegui questo comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Per concedere il ruolo Editor amministratore Centro sicurezza utilizzando gcloud, esegui questo comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Abilita l'importazione dati Google Cloud

I dati di Google Cloud vengono importati utilizzando un'API interna privata tra Security Command Center e Google Security Operations. L'importazione non raggiunge mai la rete esterna e non utilizza mai indirizzi IP. Google accede ai log di Google Cloud direttamente in base sull'autenticazione effettuata utilizzando il codice monouso fornito da Google Security Operations per Security Command Center.

Per abilitare l'importazione dati dalla tua organizzazione Google Cloud in Google Security Operations completa i seguenti passaggi:

Vai alla pagina Google Security Operations per la console Google Cloud.
Vai alla pagina Google Security Operations
Inserisci il tuo codice di accesso monouso nel codice di accesso monouso di Google Security Operations .
Per consentire l'utilizzo di Google Security Operations, seleziona la casella Acconsento a i termini e le condizioni di utilizzo dei miei dati Google Cloud da parte di Chronicle.
Fai clic su Connect Google Security Operations.

I tuoi dati di Google Cloud verranno inviati a Google Security Operations. Puoi utilizzare le funzionalità di analisi di Google Security Operations per esaminare eventuali problemi relativi alla sicurezza. Le sezioni che seguono descrivono i modi per modificare i tipi di dati di Google Cloud che verranno inviati a Google Security Operations

Esporta i log di Google Cloud in Google Security Operations

Puoi esportare i seguenti tipi di dati di Google Cloud nella tua istanza Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
- log_id("cloudaudit.googleapis.com/system_event") (esportato in base al filtro predefinito)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
Registro eventi
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
CONTROLLO:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Modifica l'espressione regolare del filtro di log in base alle esigenze.
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Per esportare i log di Google Cloud in Google Security Operations, imposta i log di Google Cloud su abilitato. Verranno esportati tutti i tipi di log di Google Cloud elencati in precedenza alla tua istanza Google Security Operations.

Per le best practice sui filtri di log da utilizzare, consulta Analisi dei log di sicurezza in Google Cloud.

Esporta impostazioni filtro

Per impostazione predefinita, gli audit log di Cloud (attività di amministrazione ed eventi di sistema) e Cloud DNS vengono inviati al tuo account Google Security Operations. Tuttavia, puoi personalizzare filtro di esportazione per includere o escludere tipi specifici di log. Il filtro di esportazione è in base al linguaggio di query di Google Logging.

Per definire un filtro personalizzato per i log:

Definisci il filtro creando un filtro personalizzato per i log utilizzando il modulo il linguaggio di query. La documentazione seguente descrive come definire questo tipo di filtro: /logging/docs/view/logging-query-language
Vai a Esplora log utilizzando il link fornito nella scheda Esporta impostazioni filtro, copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google Security Operations.

Completa i seguenti passaggi dalla scheda Esporta impostazioni filtro:

Quando il filtro è pronto, fai clic sull'icona di modifica e incolla il filtro nel campo Esporta filtro.
Fai clic su Salva filtro personalizzato. Il nuovo filtro personalizzato funziona con tutti i nuovi log esportati nell'account Google Security Operations.
Puoi reimpostare la versione predefinita del filtro di esportazione facendo clic su Ripristina impostazioni predefinite. Assicurati di salvare prima una copia del filtro personalizzato.

Ottimizza i filtri di Cloud Audit log

I log di Cloud Audit Data Access possono produrre un grande volume di log senza il valore di rilevamento delle minacce. Se scegli di inviare questi log a Google Security Operations, devi filtrare i log generati dalle attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude i volumi elevati come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Per ulteriori informazioni sull'ottimizzazione dei log di accesso ai dati di Cloud Audit, vedi qui.

Esempi di filtri per l'esportazione

I seguenti esempi di filtri di esportazione illustrano come includere o escludere l'esportazione di alcuni tipi di log nell'account Google Security Operations.

Esempio di filtro di esportazione 1: includere tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione 2: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di Access Transparency da un progetto specifico: oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esporta filtro - Esempio 3: includi log aggiuntivi di una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica. oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione 4: escludere i log da un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dall'intero servizio Google Cloud dell'organizzazione, tranne che per un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esporta i metadati degli asset Google Cloud in Google Security Operations

Puoi esportare i metadati degli asset Google Cloud in Google Security Operations. Questi metadati dell'asset provengono dal tuo inventario di asset Google Cloud e sono costituiti da informazioni su asset, risorse e identità, tra cui:

Ambiente
Località
Zona
Modelli hardware
Relazioni di controllo dell'accesso tra risorse e identità

Di seguito sono riportati i tipi specifici di metadati degli asset Google Cloud che verranno esportarle nel tuo account Google Security Operations:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Di seguito sono riportati alcuni esempi di metadati di asset Google Cloud:

Nome applicazione: Google-iamSample/0.1
Nome progetto: projects/my-project

Esempi di campi del log contestuale di Resource Manager includono assetType, resource.data.name, e resource.version.

Per ulteriori informazioni sui tipi di risorse, consulta Tipi di risorse supportati da Cloud Asset Inventory.

Per esportare i metadati degli asset Google Cloud in Google Security Operations, imposta il valore Attiva l'opzione Metadati di asset cloud per abilitarla.

Riferimento per la mappatura dei campi e tipi di risorse supportati

Nella tabella seguente sono elencati i parser di contesto supportati da Google Security Operations, l'etichetta di importazione corrispondente e i tipi di risorse supportati.

Per visualizzare la documentazione di riferimento alla mappatura del parser di contesto, fai clic sull'icona il nome dell'analizzatore sintattico di contesto corrispondente nella tabella.

Nome servizio	Etichetta di importazione	Tipi di risorse supportati
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Esporta i risultati di Security Command Center in Google Security Operations

Puoi esportare Security Command Center Premium Event Threat Detection (ETD) risultati e tutte le altre scoperte a Google Security Operations.

Per saperne di più sui risultati di Event Threat Detection, consulta la panoramica di Security Command Center.

Per esportare i risultati del livello Premium di Security Command Center in Google Security Operations, imposta il Attiva l'opzione Risultati di Security Command Center Premium.

Esporta i dati di Sensitive Data Protection in Google Security Operations

Per importare i metadati degli asset di Sensitive Data Protection (DLP_CONTEXT), esegui quanto segue:

Abilita l'importazione dati Google Cloud completando la sezione precedente di questo documento.
Configura Sensitive Data Protection per profilare i dati.
Configura la configurazione della scansione per pubblicare i profili di dati a Google Security Operations.

Per informazioni dettagliate, consulta la documentazione di Sensitive Data Protection sulla creazione di profili per i dati BigQuery.

Disabilita l'importazione dati Google Cloud

Seleziona la casella Voglio disconnettere Google Security Operations e smettere di inviare i log di Google Cloud a Google Security Operations.
Fai clic su Disconnetti Google Security Operations.

Risoluzione dei problemi

Se nelle tue risorse mancano le relazioni tra risorse e identità Nel sistema Google Security Operations, imposta Esporta i log di Cloud in Google Security Operations. disattivalo e poi riattivalo.
I metadati delle risorse vengono importati periodicamente in Google Security Operations. Aspetta diverse ore prima che le modifiche siano visibili nell'interfaccia utente e nelle API di Google Security Operations.

Passaggi successivi

Apri l'account Google Security Operations utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Google Security Operations.
Scopri di più su Google Security Operations.