GCP-Logs in Chronicle aufnehmen

Auf dieser Seite wird gezeigt, wie Sie die Aufnahme Ihrer GCP-Logs in Chronicle aktivieren und deaktivieren. Mit Chronicle können Sie die aggregierten Sicherheitsinformationen für Ihr Unternehmen monatelang oder länger speichern und suchen.

Hinweis

Bevor Sie Ihre GCP-Logs in Ihr Chronicle-Konto aufnehmen können, müssen Sie die folgenden Schritte ausführen:

  1. Wenden Sie sich an Ihren Chronicle-Vertreter und fragen Sie den einmaligen Zugriffscode, den Sie zum Aufnehmen Ihrer GCP-Logs benötigen.
  2. Gewähren Sie die für den Zugriff auf den Chronicle-Abschnitt erforderlichen IAM-Rollen:
    • IAM-Rolle Chonicle Service Admin für alle Aktivitäten.
    • IAM-Rolle Chronicle Service Viewer, um nur den Status der Aufnahme aufzurufen.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud-Befehlszeile zuweisen.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

  1. Melden Sie sich in der GCP-Organisation an, mit der Sie eine Verbindung herstellen möchten, und rufen Sie den IAM-Bildschirm mit Produkte > IAM & Verwaltung > IAM auf.
  2. Wählen Sie auf dem IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

  3. Klicken Sie im Bildschirm "Berechtigungen bearbeiten" auf Weitere Rolle hinzufügen und suchen Sie nach Chronicle, um die IAM-Rollen zu finden.

  4. Klicken Sie nach dem Zuweisen der Rollen auf Speichern.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe des gCloud-Befehlszeilentools zuzuweisen:

  1. Achten Sie darauf, dass Sie in der richtigen Organisation angemeldet sind. Überprüfen Sie dies mit dem Befehl gcloud init.
  2. Führen Sie den folgenden Befehl aus, um dem IAM-Tool die Administrator-IAM-Rolle zuzuweisen:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Führen Sie den folgenden Befehl aus, um dem IAM-Tool die Betrachter-IAM-Rolle zuzuweisen:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

GCP-Logaufnahme aktivieren

Führen Sie die folgenden Schritte aus, um die GCP-Logaufnahme in Ihrem Chronicle-Konto zu aktivieren:

  1. Rufen Sie die Chronicle-Seite für die Google Cloud Console auf.
    Zur Chronicle-Seite

  2. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Zugriffscode für Chronicle ein.

  3. Klicken Sie auf das Kästchen neben Ich stimme den Nutzungsbedingungen von Chronicle der Nutzung meiner Google Cloud-Daten zu.

  4. Klicken Sie auf Connect Chronicle.

    Seite mit Chronicle verknüpfen.

Ihre GCP-Logs werden jetzt an Chronicle gesendet. Mit den Analysefunktionen von Chronicle können Sie sicherheitsrelevante Probleme untersuchen.

GCP-Logaufnahme vorübergehend deaktivieren

Führen Sie die folgenden Schritte aus, um die GCP-Logaufnahme in Ihrem Chronicle-Konto vorübergehend zu deaktivieren:

  1. Wählen Sie unter "Google Cloud Log Ingest" aus dem Drop-down-Menü Disabled (Deaktiviert) aus.

  2. Klicken Sie auf Speichern.

    GCP-Logaufnahme

  3. Sie können jederzeit zurückkehren und das Drop-down-Menü auf Aktiviert setzen. Klicken Sie dann auf Speichern, um die GCP-Logaufnahme neu zu starten.

GCP-Logaufnahme dauerhaft deaktivieren

  1. Klicken Sie auf das Kästchen neben Ich möchte Chronicle trennen und keine Google Cloud-Logs mehr zu Chronicle senden.

  2. Klicken Sie auf Verbindung zu Chronicle aufheben.

    Trennen Sie die Verbindung zu Chronicle.

GCP-Logtypen

Wenn Sie die GCP-Logaufnahme aktivieren, können die folgenden GCP-Logs in Ihr Chronicle-Konto aufgenommen werden:

Logtyp wird unterstützt Untergeordneter Logtyp wird unterstützt Zusätzliche Informationen
Cloud DNS-Logs Logging und Monitoring
Cloud-Audit-Logs Audit-Logs zur Administratoraktivität
Audit-Logs zu Systemereignissen
Cloud-Audit-Logs

Nächste Schritte