使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

将 GCP 日志提取到 Chronicle

本页面介绍如何启用和停用将 GCP 遥测提取到 Chronicle。利用 Chronicle,您可以存储、搜索和检查您的企业在过去几个月或更长时间内的汇总安全信息。

准备工作

在将 GCP 遥测提取到 Chronicle 帐号之前,您必须先完成以下步骤:

  1. 与您的 Chronicle 代表联系,并获取提取 GCP 遥测所需的一次性访问代码。

  2. 授予访问 Chronicle 部分所需的 IAM 角色:

    • 用于执行所有活动的 Chronicle Service Admin IAM 角色。
    • Chronicle Service Viewer IAM 角色,仅可查看提取状态。

授予 IAM 角色

您可以使用 Google Cloud Console 或使用 gcloud CLI 授予所需的 IAM 角色。

如需使用 Google Cloud Console 授予 IAM 角色,请完成以下步骤:

  1. 使用产品 > IAM 和管理 > IAM 登录要连接到的 GCP 组织,然后导航到 IAM 屏幕。
  2. 从 IAM 屏幕中,选择用户,然后点击修改成员

  3. 在“修改权限”屏幕中,点击添加其他角色,然后搜索 Chronicle 以查找 IAM 角色。

  4. 分配角色后,点击保存

如需使用 Google Cloud CLI 授予 IAM 角色,请完成以下步骤:

  1. 确保您已登录正确的组织。您可以通过运行 gcloud init 命令来验证这一点。
  2. 如需从 gCloud 工具授予管理员 IAM 角色,请运行以下命令:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. 如需从 gCloud 工具授予 Viewer IAM 角色,请运行以下命令:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

启用 GCP 遥测提取

如需将 GCP 遥测提取到 Chronicle 帐号,请完成以下步骤:

  1. 导航到 Google Cloud Console 的 Chronicle 页面。
    转到 Chronicle 页面

  2. 一次性访问代码字段中输入一次性访问代码。

  3. 勾选我同意 Chronicle 使用我的 Google Cloud 数据的条款及条件复选框。

  4. 点击连接 Chronicle

    连接 Chronicle 页面。

您的 GCP 遥测现在将发送到 Chronicle。您可以使用 Chronicle 的分析功能调查任何安全相关问题。以下各部分介绍了调整将发送到 Chronicle 的 GCP 遥测类型的方法

将 Google Cloud 日志导出到 Chronicle

如需将 Google Cloud 日志导出到 Chronicle,请设置将 Cloud 日志导出到 Chronicle 切换开关。

导出 Google Cloud 日志。

将 Google Cloud 资产元数据导出到 Chronicle

您可以将 Google Cloud 资产元数据导出到 Chronicle。此资产元数据是从 Google Cloud Asset Inventory 中提取的;这些数据包含有关您的资产、资源和身份的信息,其中包括以下内容:

  • 环境
  • 位置
  • 可用区
  • 硬件型号

以下是 Google Cloud Asset 元数据的一些示例:

  • 应用名称—Google-iamSample/0.1
  • 项目名称—projects/my-project

如需将 Google Cloud 资产元数据导出到 Chronicle,请把将 Cloud Asset 元数据导出到 Chronicle 切换开关设置为启用。

启用 Cloud Asset 元数据。

将 Security Command Center 发现结果导出到 Chronicle

您可以将以下 SCC 专业版事件威胁检测 (ETD) 发现结果导出到 Chronicle:

  • 恶意软件:错误 IP
  • 恶意软件:错误网域
  • 持久化:IAM 异常授权
  • 暴力破解:SSH
  • 数据渗漏:BigQuery 数据渗漏

如需详细了解 ETD,请点击此处

如需将 SCC 专业版 ETD 发现结果导出到 Chronicle,请把将 Security Command Center 专业版发现结果导出到 Chronicle 切换开关设置为启用。

启用 Security Command Center Premium 发现结果。

停用 GCP 遥测提取

  1. 勾选标有我想要断开 Chronicle 连接并停止将 Google Cloud 日志发送到 Chronicle 的复选框。

  2. 点击断开 Chronicle 连接

    断开 Chronicle 连接。

后续步骤

  • 使用您的 Chronicle 代表提供的客户专用网址打开您的 Chronicle 帐号。
  • 详细了解 Chronicle