Ingérer des données Google Cloud dans Google Security Operations

Cette page explique comment activer et désactiver l'ingestion de vos données Google Cloud dans Google Security Operations. Google Security Operations vous permet de stocker, de rechercher et d'examiner les informations agrégées relatives à la sécurité de votre entreprise, remontant à plusieurs mois ou plus, conformément à la durée de conservation de vos données.

Présentation

Deux options s'offrent à vous pour envoyer des données Google Cloud à Google Security Operations. Le choix de l'option appropriée dépend du type de journal.

Option 1: ingestion directe

Vous pouvez configurer un filtre Cloud Logging spécial dans Google Cloud pour envoyer des types de journaux spécifiques à Google Security Operations en temps réel. Ces journaux sont générés par les services Google Cloud.

Les types de journaux disponibles incluent:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Pare-feu Cloud nouvelle génération
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Journaux des événements Windows
• syslog Linux
• Système système Linux
• Zeek
• Google Kubernetes Engine
• Daemon d'audit (auditd)
• Apigee
• reCAPTCHA Enterprise
• Journaux Cloud Run (GCP_RUN)

Pour collecter les journaux d'application Compute Engine ou Google Kubernetes Engine (GKE) tels qu'Apache, Nginx ou IIS, utilisez l'option 2. Envoyez également une demande d'assistance à Google Security Operations afin de nous faire part de vos commentaires concernant l'utilisation de l'ingestion directe (option 1).

Pour obtenir des filtres de journaux spécifiques et d'autres informations sur l'ingestion, consultez Exporter les journaux Google Cloud vers Google Security Operations.

Vous pouvez également envoyer des métadonnées d'éléments Google Cloud qui sont utilisées pour enrichir le contexte. Pour en savoir plus, consultez Exporter des métadonnées d'éléments Google Cloud vers Google Security Operations.

Option 2: Google Cloud Storage

Cloud Logging peut acheminer les journaux vers Cloud Storage pour qu'ils soient récupérés par Google Security Operations de manière planifiée.

Pour savoir comment configurer Cloud Storage pour Google Security Operations, consultez Gestion des flux: Cloud Storage.

Avant de commencer

Avant de pouvoir ingérer des données Google Cloud dans une instance Google Security Operations, vous devez effectuer les étapes suivantes:

1. Accordez les rôles IAM suivants, qui sont nécessaires pour accéder à la section Google Security Operations:

   • Administrateur de service Chronicle (roles/chroniclesm.admin): rôle IAM permettant d'effectuer toutes les activités.
   • Lecteur du service Chronicle (roles/chroniclesm.viewer): rôle IAM permettant uniquement d'afficher l'état de l'ingestion.
   • Security Center Admin Editor (roles/securitycenter.adminEditor): nécessaire pour activer l'ingestion de métadonnées d'éléments cloud.

2. Si vous envisagez d'activer les métadonnées d'éléments cloud, vous devez également activer niveau Standard, Security Command Center Premium ou Security Command Center Enterprise. Pour en savoir plus, consultez Présentation de l'activation au niveau de l'organisation.

Attribuer des rôles IAM

Vous pouvez attribuer les rôles IAM requis à l'aide de la console Google Cloud ou de gcloud CLI.

Pour attribuer des rôles IAM à l'aide de Google Cloud Console, procédez comme suit :

1. Connectez-vous à l'organisation Google Cloud à laquelle vous souhaitez vous connecter et accédez à l'écran IAM en sélectionnant Produits > IAM et Admin > Cloud IAM.

2. Sur l'écran IAM, sélectionnez l'utilisateur, puis cliquez sur Modifier le membre.

3. Sur l'écran "Modifier les autorisations", cliquez sur Ajouter un autre rôle et recherchez Google Security Operations pour trouver les rôles IAM.

4. Une fois que vous avez attribué les rôles, cliquez sur Enregistrer.

Pour attribuer des rôles IAM à l'aide de Google Cloud CLI, procédez comme suit:

1. Vérifiez que vous êtes connecté à la bonne organisation. Pour effectuer la vérification, exécutez la commande gcloud init.

2. Pour accorder le rôle IAM d'administrateur du service Chronicle à l'aide de gcloud, exécutez la commande suivante:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Remplacez les éléments suivants :

   • ORGANIZATION_ID: ID numérique de l'organisation.
   • USER_EMAIL : Adresse e-mail de l'utilisateur.

3. Pour attribuer le rôle IAM de lecteur de service Chronicle à l'aide de gcloud, exécutez la commande suivante :

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Pour accorder le rôle Éditeur de l'administrateur du centre de sécurité à l'aide de gcloud, exécutez la commande suivante:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Activer l'ingestion directe depuis Google Cloud

La procédure d'activation de l'ingestion directe à partir de Google Cloud varie en fonction de la propriété du projet auquel votre instance Google Security Operations est associée.

• S'il est lié à un projet que vous possédez et gérez, suivez les étapes décrites dans Configurez l'ingestion lorsque le projet est détenu par le client. Cette approche vous permet de configurer l'ingestion des données à partir de plusieurs organisations Google Cloud.

• S'il est lié à un projet détenu et géré par Google Cloud, suivez la procédure décrite dans Configurer l'ingestion lorsque le projet appartient à Google Cloud.

Une fois l'ingestion directe configurée, vos données Google Cloud sont envoyées à Google Security Operations. Les fonctionnalités d'analyse de Google Security Operations vous permettent d'examiner les problèmes liés à la sécurité.

Configurer l'ingestion lorsque le projet appartient au client

Procédez comme suit si vous êtes propriétaire du projet Google Cloud.

Vous pouvez configurer l'ingestion directe à partir de plusieurs organisations en utilisant le même niveau de projet page de configuration. Procédez comme suit pour créer une configuration et modifier un configuration existante.

Lorsque vous migrez une instance Google Security Operations existante pour l'associer à un projet qui vous appartient, Si l'ingestion directe a été configurée avant la migration, elle est configurée sont également migrées.

1. Accédez à la page Google SecOps > Paramètres d'ingestion dans la console Google Cloud.
   Accéder à la page Google SecOps
2. Sélectionnez le projet lié à votre instance Google Security Operations.

3. Dans le menu Organisation, sélectionnez l'organisation à partir de laquelle les journaux seront être exportées. Le menu affiche les organisations auxquelles vous êtes autorisé à accéder. La liste peut inclure des organisations qui ne sont pas associées à l'instance Google SecOps. Vous ne pouvez pas configurer une organisation qui envoie des données à une autre instance Google SecOps.

   

4. Dans la section Paramètre d'ingestion Google Cloud, cliquez sur le bouton Envoyer des données à Google Security Operations pour activer l'envoi des journaux à Google Security Operations.

5. Sélectionnez une ou plusieurs des options suivantes pour définir le type de données envoyées à Google Security Operations:

   • Google Cloud Logging: pour en savoir plus sur cette option, consultez la page Exporter des journaux Google Cloud
   • Métadonnées des éléments cloud: pour en savoir plus sur cette option, consultez la page Exporter des métadonnées d'éléments Google Cloud
   • Résultats du centre de sécurité Premium: pour en savoir plus sur cette option, consultez Exporter les résultats du centre de sécurité Premium

6. Dans la section Paramètres du filtre d'exportation des clients, définissez des filtres d'exportation qui personnalisent le service exportées vers Google Security Operations. Consultez Exporter des journaux Google Cloud. pour les types de données de journaux que vous exportez.

7. Pour ingérer les journaux d'une autre organisation dans la même instance Google Security Operations, sélectionnez l'organisation dans le menu Organisation, puis répétez les étapes pour définir le type de données à exporter et les filtres d'exportation. Plusieurs organisations sont répertoriées dans le menu Organisation.

8. Pour exporter des données Cloud Data Loss Prevention Google Cloud vers Google Security Operations, consultez la section Exporter des données Cloud Data Loss Prevention Google Cloud vers Google Security Operations.

Configurer l'ingestion lorsqu'un projet appartient à Google Cloud

Si Google Cloud est propriétaire du projet, procédez comme suit pour configurer l'ingestion directe de votre organisation Google Cloud à votre instance Google Security Operations:

1. Accédez à Google SecOps > Présentation > l'onglet Ingestion de la console Google Cloud. Accéder à l'onglet "Ingestion" de Google SecOps
2. Cliquez sur le bouton Gérer les paramètres d'ingestion de l'organisation.
3. Si le message Page non visible pour les projets s'affiche, sélectionnez une organisation, puis cliquez sur Sélectionner.
4. Saisissez votre code d'accès à usage unique dans le champ Code d'accès unique à Google Security Operations.
5. Cochez la case J'accepte les conditions d'utilisation de Utilisation de mes données Google Cloud par Google Security Operations
6. Cliquez sur Connecter Google SecOps.
7. Accédez à l'onglet Paramètres d'intégration globaux de l'organisation.

8. Sélectionnez le type de données qui seront envoyées en activant une ou plusieurs des options suivantes :

   • Google Cloud Logging: pour en savoir plus sur cette option, consultez la page Exporter des journaux Google Cloud.
   • Métadonnées des éléments cloud. Pour en savoir plus sur cette option, consultez Exporter des métadonnées d'éléments Google Cloud
   • Résultats du centre de sécurité Premium: pour en savoir plus sur cette option, consultez Exporter les résultats Premium du centre de sécurité

9. Accédez à l'onglet Exporter les paramètres du filtre.

10. Dans la section Paramètres du filtre d'exportation des clients, définissez des filtres d'exportation qui personnalisent le service exportées vers Google Security Operations. Consultez Exporter des journaux Google Cloud. pour les types de données de journaux que vous exportez.

11. Pour exporter des données Google Cloud Data Loss Prevention vers Google Security Operations, consultez la page Exporter des données Google Cloud Data Loss Prevention vers Google Security Operations

Exporter des journaux Google Cloud

Après avoir activé Cloud Logging, vous pouvez exporter les types suivants Données Google Cloud vers votre instance Google Security Operations, répertoriées par type de journal et l'étiquette d'ingestion Google Security Operations:

• Cloud Audit Logs(GCP_CLOUDAUDIT): journaux des activités d'administration, des événements système, d'Access Transparency et des refus de règles.
  • log_id("cloudaudit.googleapis.com/activity") (exporté par le filtre par défaut)
  • log_id("cloudaudit.googleapis.com/system_event") (exporté par le filtre par défaut)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Journaux Cloud NAT(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Journaux Cloud DNS (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (exporté par le filtre par défaut)
• Journaux de pare-feu Cloud nouvelle génération(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS :
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING :
  • log_id("requests") Cela inclut les journaux de Google Cloud Armor et de Cloud Load Balancing
• GCP_CLOUDSQL :
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM :
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON :
  • log_id("sysmon.raw")
• WINEVTLOG :
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON :
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE :
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD :
  • log_id("audit_log")
• GCP_APIGEE_X :
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE :
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN :
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE :
  • log_id("networksecurity.googleapis.com/firewall_threat")

Pour exporter des journaux Google Cloud vers Google Security Operations, définissez le bouton Activer les journaux Cloud sur Activé. Les types de journaux Google Cloud compatibles peuvent être exportés vers votre instance Google Security Operations.

Pour connaître les bonnes pratiques concernant les filtres de journaux à utiliser, consultez Analyse des journaux de sécurité dans Google Cloud.

Paramètres de filtre d'exportation

Paramètres personnalisés du filtre d'exportation

Par défaut, vos Cloud Audit Logs (activités d'administration et événements système) et Cloud DNS les journaux sont envoyés à votre instance Google Security Operations. Vous pouvez toutefois personnaliser le filtre d'exportation pour inclure ou exclure des types spécifiques de journaux. Filtre d'exportation est basé sur le langage de requête Logging de Google.

Pour définir un filtre personnalisé pour vos journaux, procédez comme suit:

1. Définissez votre filtre en créant un filtre personnalisé pour vos journaux à l'aide de la propriété avec le langage de requête Logging. Consultez la section Langage de requête Logging pour en savoir plus sur comment définir ce type de filtre.

2. Accéder à la page "Google SecOps" dans la console Google Cloud et sélectionnez un projet.
   Accéder à la page Google Security Operations
   

3. Lancez l'explorateur de journaux à l'aide du lien fourni dans l'onglet Export Filter Settings (Paramètres du filtre d'exportation).

4. Copiez votre nouvelle requête dans le champ Query (Requête), puis cliquez sur Run Query (Exécuter la requête) pour la tester.

5. Copiez votre nouvelle requête dans l'explorateur de journaux > Requête, puis cliquez sur Exécuter la requête pour la tester.

6. Vérifiez que les journaux correspondants affichés dans l'explorateur de journaux correspondent exactement à ce que vous souhaitez exporter vers Google Security Operations. Lorsque le filtre est prêt, Copiez-le dans la section Paramètres de filtre d'exportation personnalisés pour Google Security Operations.

7. Revenez à la section Paramètres de filtre d'exportation personnalisés sur la page Google SecOps.

   Section "Paramètres de filtre d'exportation personnalisés"

8. Cliquez sur l'icône de modification du champ Exporter le filtre, puis collez le filtre dans le champ.

9. Cliquez sur le bouton Enregistrer. Votre nouveau filtre personnalisé fonctionne avec tous les nouveaux journaux exportés vers votre instance Google Security Operations.

10. Vous pouvez rétablir la version par défaut du filtre d'exportation en cliquant sur Rétablir les valeurs par défaut. Assurez-vous d'abord d'enregistrer une copie de votre filtre personnalisé.

Régler les filtres Cloud Audit Logs

Les journaux d'accès aux données écrits par Cloud Audit Logs peuvent produire un grand volume de données sans grande valeur pour la détection des menaces. Si vous choisissez d'envoyer ces journaux à Google Security Operations, vous devez filtrer les journaux générés par les activités de routine.

Le filtre d'exportation suivant enregistre les journaux d'accès aux données et exclut les événements à volume élevé, tels que les opérations de lecture et de liste de Cloud Storage et de Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Pour en savoir plus sur l'ajustement des journaux d'accès aux données générés par les journaux d'audit Cloud, consultez Gérer le volume des journaux d'audit des accès aux données.

Exemples de filtres d'exportation

Les exemples de filtres d'exportation suivants montrent comment inclure ou exclure l'exportation de certains types de journaux vers votre instance Google Security Operations.

Exemple de filtre d'exportation: inclure des types de journaux supplémentaires

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemple de filtre d'exportation: inclure les journaux supplémentaires d'un projet spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un projet spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation: inclure les journaux supplémentaires d'un dossier spécifique

Le filtre d'exportation suivant permet d'exporter les journaux Access Transparency d'un dossier spécifique, en plus des journaux par défaut:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemple de filtre d'exportation : exclure les journaux d'un projet spécifique

Le filtre d'exportation suivant exporte les journaux par défaut de l'ensemble de l'organisation Google Cloud, à l'exception d'un projet spécifique:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporter les métadonnées d'un élément Google Cloud

Vous pouvez exporter les métadonnées de vos éléments Google Cloud depuis l'inventaire des éléments cloud vers Google Security Operations. Ces métadonnées d'éléments sont extraites de votre inventaire des éléments cloud et sont constituées d'informations sur vos éléments, vos ressources et vos identités, y compris:

• Environnement
• Emplacement
• Zone
• Modèles de matériel
• Relations de contrôle d'accès entre les ressources et les identités

Les types de métadonnées d'éléments Google Cloud suivants seront exportés vers votre instance Google Security Operations:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Voici des exemples de métadonnées d'éléments Google Cloud:

• Nom de l'application : Google-iamSample/0.1
• Nom du projet : projects/my-project

Pour exporter des métadonnées d'éléments Google Cloud vers Google Security Operations, définissez le bouton Métadonnées d'éléments cloud sur Activé.

Pour en savoir plus sur les analyseurs de contexte, consultez Analyseurs de contexte Google Security Operations.

Exporter les résultats de Security Command Center

Vous pouvez exporter les résultats de Security Command Center Premium Event Threat Detection et tous les autres résultats vers Google Security Operations.

Pour en savoir plus sur les résultats ETD, consultez la page Présentation d'Event Threat Detection.

Pour exporter vos résultats Security Command Center Premium vers Google Security Operations, définissez le bouton Résultats Premium de Security Command Center sur Activé.

Exporter les données de protection des données sensibles vers Google Security Operations

Pour ingérer les métadonnées d'éléments de la protection des données sensibles (DLP_CONTEXT), procédez comme suit:

1. Remplissez la section précédente de ce document pour activer l'ingestion de données Google Cloud.
2. Configurez la protection des données sensibles pour profiler les données.
3. Configurez la configuration d'analyse pour publier des profils de données. à Google Security Operations.

Consultez la documentation sur la protection des données sensibles pour en savoir plus. sur la création de profils pour les données BigQuery.

Désactiver l'ingestion des données Google Cloud

La procédure à suivre pour désactiver l'ingestion directe de données à partir de Google Cloud varie en fonction de la configuration de Google Security Operations. Choisissez l'une des options suivantes :

• Si votre instance Google Security Operations est liée à un projet qui vous appartient procédez comme suit:

  1. Sélectionnez le projet lié à votre instance Google Security Operations.
  2. Dans la console Google Cloud, accédez à l'onglet Ingestion sous Google SecOps.
     Accéder à la page Google SecOps
  3. Dans le menu Organisation, sélectionnez l'organisation à partir de laquelle les journaux sont exportés.
  4. Définissez le bouton Envoyer des données à Google Security Operations sur Désactivé.
  5. Si vous avez configuré l'exportation de données depuis plusieurs organisations et que vous souhaitez désactiver ces éléments également, procéder comme suit pour chaque organisation.

• Si votre instance Google Security Operations est liée à un projet appartenant à Google Cloud et que vous gérez, procédez comme suit:

  1. Accédez à Google SecOps > Ingestion de la console Google Cloud.
     Accéder à la page Google SecOps
  2. Dans la liste de ressources, sélectionnez l'organisation associée à votre compte Google Security Operations. depuis laquelle vous ingérez des données.
  3. Cochez la case Je souhaite déconnecter Google Security Operations et arrêter d'envoyer des journaux Google Cloud à Google Security Operations.
  4. Cliquez sur Déconnecter Google Security Operations.

Dépannage

• Si les relations entre les ressources et les identités sont absentes de votre instance Google Security Operations, désactivez puis réactivez l'ingestion directe des données des journaux dans Google Security Operations.
• Les métadonnées des éléments Google Cloud sont régulièrement ingérées dans Google Security Operations. Un délai de quelques heures est nécessaire pour que les modifications soient visibles l'UI et les API Google Security Operations.

Étape suivante

• Ouvrez votre instance Google Security Operations à l'aide de l'URL spécifique au client fournie par votre représentant Google Security Operations.
• En savoir plus sur Google Security Operations