将 GCP 日志提取到 Chronicle

本页面介绍如何启用和停用将 GCP 日志提取到 Chronicle。利用 Chronicle,您可以存储、搜索和检查您的企业在过去几个月或更长时间内的汇总安全信息。

准备工作

在将 GCP 日志提取到 Chronicle 帐号之前,您必须先完成以下步骤:

  1. 与您的 Chronicle 代表联系,并获取提取 GCP 日志所需的一次性访问代码。
  2. 授予访问 Chronicle 部分所需的 IAM 角色:
    • 用于执行所有活动的 Chronicle Service Admin IAM 角色。
    • Chronicle Service Viewer IAM 角色,仅可查看提取状态。

授予 IAM 角色

您可以使用 Google Cloud Console 或使用 gcloud CLI 授予所需的 IAM 角色。

如需使用 Google Cloud Console 授予 IAM 角色,请完成以下步骤:

  1. 使用产品 > IAM 和管理 > IAM 登录要连接到的 GCP 组织,然后导航到 IAM 屏幕。
  2. 从 IAM 屏幕中,选择用户,然后点击修改成员

  3. 在“修改权限”屏幕中,点击添加其他角色,然后搜索 Chronicle 以查找 IAM 角色。

  4. 分配角色后,点击保存

如需使用 gCloud 命令行工具授予 IAM 角色,请完成以下步骤:

  1. 确保您已登录正确的组织。您可以通过运行 gcloud init 命令来验证这一点。
  2. 如需从 gCloud 工具授予管理员 IAM 角色,请运行以下命令:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. 如需从 gCloud 工具授予 Viewer IAM 角色,请运行以下命令:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

启用 GCP 日志提取

如需将 GCP 日志提取到 Chronicle 帐号,请完成以下步骤:

  1. 导航到 Google Cloud Console 的 Chronicle 页面。
    转到 Chronicle 页面

  2. 一次性访问代码字段中输入一次性访问代码。

  3. 勾选我同意 Chronicle 使用我的 Google Cloud 数据的条款及条件复选框。

  4. 点击连接 Chronicle

    连接 Chronicle 页面。

您的 GCP 日志现在将发送到 Chronicle。您可以使用 Chronicle 的分析功能调查任何安全相关问题。

暂时停用 GCP 日志提取

如需暂时停用 Chronicle 帐号的 GCP 日志提取,请完成以下步骤:

  1. 在“Google Cloud Log Ingest”下,从下拉菜单中选择已停用

  2. 点击保存

    GCP 日志提取。

  3. 您可以随时返回并将下拉菜单设置为已启用,然后点击保存,以重启 GCP 日志提取。

永久停用 GCP 日志提取

  1. 勾选标有我想要断开 Chronicle 连接并停止将 Google Cloud 日志发送到 Chronicle 的复选框。

  2. 点击断开 Chronicle 连接

    断开 Chronicle 连接。

GCP 日志的类型

启用 GCP 日志提取功能后,以下类型的 GCP 日志可以提取到您的 Chronicle 帐号:

支持的日志类型 支持子日志类型 其他信息
Cloud DNS 日志 不适用 日志记录和监控
Cloud 审核日志 管理员活动审核日志
系统事件审核日志
Cloud Audit Logs

后续步骤

  • 使用您的 Chronicle 代表提供的客户专用网址打开您的 Chronicle 帐号。
  • 详细了解 Chronicle