使用動態消息管理 UI 建立及管理動態消息

本文提供相關資訊，說明如何使用動態饋給管理使用者介面建立、管理及排解動態饋給問題。管理動態饋給包括修改、啟用及刪除動態饋給。

事前準備

每個資料動態饋給都有自己的先決條件，必須先完成這些條件，才能在 Google Security Operations 中設定動態饋給。如要瞭解特定動態饋給類型的先決條件，請參閱「依來源類型設定」。搜尋要設定的資料動態饋給類型，然後按照提供的操作說明操作。

支援的壓縮格式

動態饋給擷取作業支援的壓縮格式包括：.gz、.tar.gz、.tar、.targz 和 solr.gz。 下表列出 Google SecOps 摘要轉換功能支援的不同檔案大小：

設定動態饋給的方法

Google SecOps 客戶可在平台中透過兩種方式設定這項動態饋給。請使用最適合您環境的方法：

• 「SIEM 設定」>「動態饋給」
• 內容中心 > 內容套件

查看已設定的動態饋給

「動態饋給」頁面會顯示您設定的所有動態饋給。

1. 依序前往「SIEM 設定」>「動態饋給」。主頁面會顯示所有已設定的動態饋給。
2. 將指標懸停在各資料列上，即可顯示「更多」 more_vert 選單。
3. 在選單中，你可以查看動態饋給詳細資料、編輯、停用或刪除動態饋給。

為產品系列設定多個動態饋給 (僅限 Google SecOps 客戶)

您可以根據記錄類型，為每個產品系列設定多個動態饋給。 Google 認為屬於基準的記錄類型會標示為「必要」。 平台會提供設定說明、必要程序，以及所有設定參數的說明。系統會預先定義部分參數，簡化設定程序。舉例來說，您可以為 CrowdStrike Falcon 建立多個動態饋給，包括必要和選用記錄類型。詳情請參閱「設定多個動態饋給」。

新增動態消息

如要在 Google SecOps 帳戶中新增動態消息，請完成下列步驟：

請按照下列程序，透過「SIEM 設定」* {and_then}「動態饋給」頁面新增動態饋給。

1. 在 Google SecOps 選單中選取「設定」，然後按一下「動態消息」。 「動態饋給」頁面列出的資料動態饋給，除了您設定的動態饋給，還包括 Google 為您帳戶設定的所有動態饋給。

2. 按一下「新增動態消息」。

3. 在下一個頁面中，按一下「設定單一動態饋給」。如果客戶使用 Google SecOps SIEM 獨立平台，則不適用這個步驟。

4. 新增動態饋給名稱。

5. 在「Source type」(來源類型) 清單中，選取要匯入 Google SecOps 的資料來源類型。你可以選取下列動態饋給來源類型：

   • Amazon Data Firehose
   • Amazon S3
   • Amazon S3 (預覽版)
   • Amazon SQS
   • Amazon SQS (預先發布版)
   • Azure Blob 儲存體
   • Azure Blob 儲存體 (預先發布版)
   • Google Cloud Pub/Sub
   • Cloud Storage
   • Cloud Storage (預先發布版)
   • Cloud Storage Event Driven (Preview)
   • HTTP(S) 檔案 (非 API)
   • 第三方 API
   • Webhook

6. 在「記錄類型」清單中，選取要擷取的記錄所對應的記錄類型。可用的記錄取決於您先前選取的來源類型。

   如果選取「Cloud Storage」做為來源類型，請使用「取得服務帳戶」選項取得專屬服務帳戶。請參閱「Google Cloud Storage 動態饋給設定範例」。

7. 點選「下一步」。

8. 在「輸入參數」分頁中，指定所需的參數。這裡顯示的選項會因您在「設定屬性」分頁中選取的來源和記錄類型而異。 將指標懸停在各欄位的問號圖示上，即可取得額外資訊，瞭解需要提供的內容。

9. 選用：您可以在「Set Properties」(設定屬性) 分頁中指定命名空間。如要進一步瞭解命名空間，請參閱「使用資產命名空間」。

10. 點選「下一步」。

11. 在「完成」分頁中，查看新的動態饋給設定。

12. 按一下「提交」。Google SecOps 會完成新動態消息的驗證檢查。如果動態消息通過檢查，系統會為動態消息產生名稱，並提交至 Google SecOps，Google SecOps 隨即開始嘗試擷取資料。

    

Google Cloud Storage 動態饋給設定範例

1. 在 Google SecOps 選單中選取「設定」，然後按一下「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。如果您使用 Google SecOps SIEM 獨立平台，則不適用這個步驟。
4. 選取「Cloud Storage」做為「Source Type」(來源類型)。
5. 選取「記錄類型」。舉例來說，如要為 Google Kubernetes Engine 稽核記錄建立資訊提供，請選取「Google Kubernetes Engine audit logs」(Google Kubernetes Engine 稽核記錄) 做為「Log Type」(記錄類型)。
6. 按一下「取得服務帳戶」。Google SecOps 提供專屬服務帳戶，用於擷取資料。
7. 選用：設定服務帳戶。詳情請參閱「授予 Google SecOps 服務帳戶存取權」。
8. 點選「下一步」。

9. 根據您建立的 Cloud Storage 設定，為下列欄位指定值：

   • 儲存空間 bucket URI

   • 來源刪除選項

   如要進一步瞭解如何設定 Cloud Storage bucket，請參閱「建立 bucket」。

10. 依序點按「繼續」和「提交」。注意：您必須啟用許可清單，並為所有從第三方 API 擷取資料的記錄類型新增 IP 範圍。

IP 許可清單

本節說明第三方動態消息和 Storage 移轉服務 (STS) 的許可清單需求。

將第三方 API 動態饋給加入許可清單

啟用允許清單，並為所有從第三方 API 擷取資料的記錄類型新增 Google IP 範圍。

為 Amazon S3 和 Azure 儲存空間啟用 STS 存取權

下列 Google Cloud Storage 資訊動態會使用 STS，將資料從 Amazon S3 和 Azure Storage Blob 儲存體轉移至 Google SecOps：

• Amazon S3 (預覽版)
• Amazon SQS (預先發布版)
• Azure Blob 儲存體 (預先發布版)

STS 會從一組定義的 STS IP 位址範圍，將資料移轉要求傳送至 Amazon S3 和 Azure 儲存空間服務。這些 STS IP 位址範圍會發布在下列 JSON 檔案中： https://www.gstatic.com/storage-transfer-service/ipranges.json

如要使用這些 STS 動態饋給來源類型，您可能需要允許存取 Amazon S3 和 Azure Storage Blob 儲存空間，以處理來自 STS IP 位址範圍內 IP 位址的查詢。

您可能需要調整 IP 存取限制，才能讓 STS 存取 Amazon S3 和 Azure 儲存服務：

1. 從 JSON 檔案中提取最新的 IP 範圍。

   建議您至少每週讀取一次這個 JSON 檔案中的資料，確保安全設定維持在最新狀態。將新範圍新增至檔案後，系統會等待至少 7 天，才會將該範圍用於 STS 的要求。

   如需從 JSON 檔案擷取 IP 範圍的 Python 指令碼範例，請參閱「預設網域的 IP 位址」。

2. 比較目前的 IP 範圍 creationTime 與從先前 JSON 檔案讀取的 IP 範圍 creationTime。如果不同，請更新 Amazon S3 和 Azure 儲存體 Blob 儲存區的 IP 存取限制。

   • 如果是 Amazon S3

     如要在 Amazon S3 Blobstore 中更新 IP 存取限制，請按照下列步驟操作：

     如果 AWS 專案使用 IP 限制存取儲存空間，請務必將 STS 工作人員使用的 IP 範圍新增至允許的 IP 清單。

     如要將這些範圍新增為允許的 IP，請在 bucket policy 中使用 Condition 欄位，詳情請參閱 AWS S3 說明文件：根據特定 IP 位址管理存取權。

   • 適用於 Azure 儲存體

     如要在 Azure 儲存體 Blobstore 中更新 IP 存取限制，請按照下列步驟操作：

     如果您使用 Azure 儲存空間防火牆限制 Azure 資源的存取權，請務必將 STS 工作人員使用的 IP 範圍加入允許的 IP 清單。

     如要將這些範圍新增為允許的 IP，請按照「設定 Azure 儲存空間防火牆和虛擬網路」一文中的操作說明進行。

刪除來源檔案

來源刪除選項可讓您在成功移轉後，從儲存空間刪除動態消息來源物件 (檔案和資料夾)。這個選項僅適用於特定動態饋給來源類型，包括 Cloud Storage。這些動態饋給來源類型包括「新增」和「編輯動態饋給」工作流程中的「SOURCE DELETION OPTION」欄位。

來源刪除選項

• 對於支援的動態消息來源類型 (包括 Cloud Storage)，「SOURCE DELETION OPTION」(來源刪除選項) 欄位提供下列選項：

  • 一律不刪除檔案
  • 刪除已轉移的檔案和空白目錄
  • 刪除轉移的檔案

• Microsoft Azure Blob 儲存體 (AZURE_BLOBSTORE) 不支援刪除來源檔案。在「SOURCE DELETION OPTION」欄位中，請只選取「Never delete files」選項。

• 對於下列動態消息來源 ("feedSourceType")： GOOGLE_CLOUD_STORAGE_V2、GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN、 AMAZON_S3_V2、AMAZON_SQS_V2 和 AZURE_BLOBSTORE_V2，「SOURCE DELETION OPTION」(來源刪除選項) 欄位提供兩個選項：

  • 永不：轉移後一律不刪除任何檔案。
  • ON_SUCCESS：移轉完成後刪除所有檔案和空目錄。

設定 Pub/Sub 推送動態消息

如要設定 Pub/Sub 推送動態消息，請按照下列步驟操作：

1. 建立 Pub/Sub 推送動態消息。
2. 在 Pub/Sub 訂閱項目中指定端點網址。

建立 Pub/Sub 推送動態消息

1. 在 Google SecOps 選單中選取「設定」，然後按一下「動態消息」。
2. 按一下「新增」。
3. 在「動態饋給名稱」欄位中，輸入動態饋給名稱。
4. 在「Source type」(來源類型) 清單中，選取「Google Cloud Pub/Sub Push」(Google Cloud Pub/Sub 推送)。
5. 選取「記錄類型」。舉例來說，如要為開放式網路安全結構定義建立動態饋給，請選取「開放式網路安全結構定義 (OCSF)」做為「記錄類型」。
6. 點選「下一步」。
7. 選用：指定下列輸入參數的值：
   • 分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。
10. 在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。 您需要這個端點網址，才能在 Pub/Sub 中建立推送訂閱項目。
11. 選用：按一下「動態消息已啟用」切換鈕，即可停用動態消息。動態消息預設為啟用。
12. 按一下 [完成]。

指定端點網址

建立 Pub/Sub 推送動態消息後，請按照下列方式指定端點網址： 在 Pub/Sub 中建立推送訂閱項目，並指定 HTTPS 端點。 選取「啟用驗證」和服務帳戶。

1. 在 Pub/Sub 中建立推送訂閱項目。如要進一步瞭解如何建立推送訂閱，請參閱「建立推送訂閱」。
2. 指定端點網址，該網址位於 Google Cloud Pub/Sub 推送動態饋給中。
3. 選取「啟用驗證」，然後選取服務帳戶。

設定 Amazon Data Firehose 動態饋給

如要設定 Amazon Data Firehose 動態饋給，請按照下列步驟操作：

1. 建立 Amazon Data Firehose 動態消息，然後複製端點網址和私密金鑰。
2. 建立 API 金鑰，以驗證 Google SecOps。您也可以重複使用現有的 API 金鑰，向 Google SecOps 進行驗證。
3. 在 Amazon Data Firehose 中指定端點網址。

建立 Amazon Data Firehose 動態饋給

1. 在 Google SecOps 選單中選取「設定」，然後按一下「動態消息」。
2. 按一下「新增」。
3. 在「動態饋給名稱」欄位中，輸入動態饋給名稱。
4. 在「Source type」(來源類型) 清單中，選取「Amazon Data Firehose」。
5. 選取「記錄類型」。舉例來說，如要為開放式網路安全結構定義建立動態饋給，請選取「開放式網路安全結構定義 (OCSF)」做為「記錄類型」。
6. 點選「下一步」。
7. 選用：指定下列輸入參數的值：
   • 分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。
10. 按一下「產生密鑰」，產生驗證這個動態消息的密鑰。
11. 複製並儲存密鑰，因為您無法再次查看這個密鑰。您可以再次產生新的密鑰，但重新產生的密鑰會使先前的密鑰失效。
12. 在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。 在 Amazon Data Firehose 中指定傳送串流的目標設定時，您需要這個端點網址。
13. 選用：按一下「動態消息已啟用」切換鈕，即可停用動態消息。動態消息預設為啟用。
14. 按一下 [完成]。

為 Amazon Data Firehose 動態饋給建立 API 金鑰

如要為 Amazon Data Firehose 動態饋給建立 API 金鑰，請按照下列步驟操作： 1. 前往 Google Cloud 控制台的「憑證」頁面。 1. 按一下「建立憑證」，然後選取「API 金鑰」。 1. 限制 API 金鑰對 Chronicle API 的存取權。

指定端點網址

在 Amazon Data Firehose 中，指定 HTTPS 端點和存取金鑰，如下所示：

1. 將 API 金鑰附加至動態消息端點網址，並以以下格式指定這個網址做為 HTTP 端點網址：

     ENDPOINT_URL?key=API_KEY
   

   更改下列內容：

   • ENDPOINT_URL：動態消息端點網址。
   • API_KEY：用於向 Google SecOps 進行驗證的 API 金鑰。

2. 存取金鑰請指定您在建立 Amazon Data Firehose 動態饋給時取得的私密金鑰。

設定 HTTPS Webhook 動態饋給

如要設定 HTTPS Webhook 資訊動態，請按照下列步驟操作：

1. 建立 HTTPS Webhook 動態消息，然後複製端點網址和密鑰。
2. 建立 API 金鑰，並指定端點網址。您也可以重複使用現有的 API 金鑰，向 Google SecOps 進行驗證。
3. 在應用程式中指定端點網址。

必要條件

• 確認已Google Cloud 設定 Google SecOps 專案，並為該專案啟用 Chronicle API。

• 將 Google SecOps 執行個體連結至 Google Cloud 服務。

建立 HTTPS Webhook 動態饋給

1. 在 Google SecOps 選單中選取「設定」，然後按一下「動態消息」。
2. 按一下「新增」。
3. 在「動態饋給名稱」欄位中，輸入動態饋給名稱。
4. 在「Source type」(來源類型) 清單中，選取「Webhook」(Webhook)。
5. 選取「記錄類型」。舉例來說，如要為開放式網路安全結構定義建立動態饋給，請選取「開放式網路安全結構定義 (OCSF)」做為「記錄類型」。
6. 點選「下一步」。
7. 選用：指定下列輸入參數的值：
   • 分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。
10. 按一下「產生密鑰」，產生驗證這個動態消息的密鑰。
11. 複製並儲存密鑰，因為您無法再次查看這個密鑰。您可以再次產生新的密鑰，但重新產生的密鑰會使先前的密鑰失效。
12. 在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。 您需要在用戶端應用程式中指定這個端點網址。
13. 選用：按一下「動態消息已啟用」切換鈕，即可停用動態消息。動態消息預設為啟用。
14. 按一下 [完成]。

為 Webhook 資訊提供建立 API 金鑰

1. 前往 Google Cloud 控制台的「憑證」頁面。
2. 按一下 [Create credentials] (建立憑證)，然後選取 [API key] (API 金鑰)。
3. 限制 API 金鑰對 Chronicle API 的存取權。

指定端點網址

1. 在用戶端應用程式中，指定 HTTPS 端點 (Webhook 動態消息中提供)。

2. 如要啟用驗證，請在自訂標頭中指定 API 金鑰和密鑰，格式如下：

   X-goog-api-key = API_KEY

   X-Webhook-Access-Key = SECRET

   建議您將 API 金鑰指定為標頭，而非在網址中指定。如果 Webhook 用戶端不支援自訂標頭，您可以使用查詢參數指定 API 金鑰和密鑰，格式如下：

     ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   更改下列內容：

   • ENDPOINT_URL：動態消息端點網址。
   • API_KEY：用於向 Google SecOps 進行驗證的 API 金鑰。
   • SECRET：您產生的密鑰，用於驗證動態饋給。

授予 Google SecOps 服務帳戶存取權

1. 在 Google Cloud 控制台，前往「Cloud Storage bucket」頁面。
   

   前往「Buckets」(值區) 頁面

2. 將相關 Cloud Storage 物件的存取權授予服務帳戶。

   • 如要授予特定檔案的讀取權限，請完成下列步驟：

     1. 選取檔案並按一下「編輯權限」。
     2. 按一下「新增主體」。
     3. 在「新增主體」欄位中，輸入 Google SecOps 服務帳戶的名稱。
     4. 將具備讀取權限的角色指派給 Google SecOps 服務帳戶。舉例來說，Storage 物件檢視者 (roles/storage.objectViewer)。 如要執行這項操作，您必須未啟用統一值區層級存取權。
     5. 按一下 [儲存]。

   • 如要授予多個檔案的讀取權限，請在值區層級授予存取權，方法如下：

     • 針對 "feedSourceType": "GOOGLE_CLOUD_STORAGE"：

       1. 將 Google SecOps 服務帳戶新增為儲存空間 bucket 的主體，並授予 IAM「Storage 物件檢視者」 (roles/storage.objectViewer) 角色。
       2. 如果將動態饋給設定為刪除來源檔案，您必須將 Google SecOps 服務帳戶新增為 bucket 的主體，並授予 IAM Storage Object Admin (roles/storage.objectAdmin) 角色。

     • 針對 "feedSourceType": "GOOGLE_CLOUD_STORAGE_V2"：

       1. 授予下列任一角色：

          • Storage 物件檢視者 (roles/storage.objectViewer)，前提是轉移至另一個 Cloud Storage bucket。
          • Storage 物件建立者 (roles/storage.objectCreator) (如果移轉至檔案系統)。

       2. 授予下列任一角色：

          • Storage 舊版值區寫入者 (roles/storage.legacyBucketWriter)，如果需要物件刪除權限。
          • 如果不需要物件刪除權限，請使用 Storage 舊版值區讀取者 (roles/storage.legacyBucketReader)。

     • 針對 "feedSourceType": "GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN"：

       1. 授予下列任一角色：

          • Storage 物件檢視者 (roles/storage.objectViewer)，前提是轉移至另一個 Cloud Storage bucket。
          • Storage 物件建立者 (roles/storage.objectCreator) (如果移轉至檔案系統)。

       2. 授予下列任一角色：

          • Storage 舊版值區寫入者 (roles/storage.legacyBucketWriter)，如果需要物件刪除權限。
          • 如果不需要物件刪除權限，請使用 Storage 舊版值區讀取者 (roles/storage.legacyBucketReader)。

設定 VPC Service Controls

如果已啟用 VPC Service Controls，則必須提供存取 Cloud Storage 值區的輸入規則。

在輸入規則中，必須允許下列 Cloud Storage 方法：

• google.storage.objects.list。單一檔案動態饋給的必填屬性。
• google.storage.objects.get。如果動態饋給需要目錄或子目錄存取權，則必須提供這項資訊。
• google.storage.objects.delete. 如果動態饋給需要刪除來源檔案，則必須提供這項屬性。

ingress 規則範例

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

動態饋給狀態

你可以在初始的「動態饋給」頁面中監控動態饋給狀態，動態饋給可能會有下列狀態：

• 有效：動態饋給已設定完成，可將資料擷取至 Google SecOps 帳戶。
• InProgress：Google SecOps 嘗試從已設定的第三方服務提取資料。
• 已完成：這個動態消息已成功擷取資料。
• 已封存：已停用的動態饋給。

• 失敗：動態饋給無法順利擷取資料。這可能是設定問題所致。按一下問題，即可顯示設定錯誤。修正錯誤並重新提交動態饋給後，請返回「動態饋給」頁面，確認動態饋給是否正常運作。

編輯動態饋給

在「動態饋給」頁面上，您可以編輯現有動態饋給，方法如下：

1. 將游標懸停在現有動態消息上，然後按一下右欄中的 more_vert。

2. 按一下「編輯動態饋給」。您現在可以修改動態消息的輸入參數，然後重新提交至 Google SecOps，系統會嘗試使用更新後的動態消息。

啟用及停用動態消息

在「狀態」欄中，已啟用的動態饋給會標示為「有效」、「處理中」、「已完成」或「失敗」。停用的欄位會標示為「已封存」。如需說明，請參閱動態饋給狀態。

在「動態消息」頁面中，您可以啟用或停用任何現有動態消息：

1. 將游標懸停在現有動態消息上，然後按一下右欄中的 more_vert。

2. 選用：按一下「動態消息已啟用」切換鈕，即可停用動態消息。

3. 選用：按一下「停用動態消息」切換鈕，即可停用動態消息。動態消息現在會標示為「已封存」。

刪除動態消息

你也可以在「動態饋給」頁面中刪除現有動態饋給：

1. 將游標懸停在現有動態消息上，然後按一下右欄中的 more_vert。

2. 按一下「刪除動態消息」。「刪除動態消息」視窗隨即開啟。如要永久刪除動態消息，請按一下「是，刪除」。

控管擷取率

當租戶的資料擷取率達到特定門檻時，Google Security Operations 會限制新資料饋給的擷取率，避免擷取率高的來源影響其他資料來源的擷取率。在這種情況下，資料會延遲傳送，但不會遺失。系統會根據擷取量和租戶的使用記錄決定門檻。

如要提高頻率限制，請與 Cloud Customer Care 團隊聯絡。

疑難排解

在「動態饋給」頁面中，你可以查看現有動態饋給的詳細資料，例如來源類型、記錄類型、動態饋給 ID 和狀態，如下所示：

1. 將游標懸停在現有動態消息上，然後按一下右欄中的 more_vert。

2. 按一下「查看動態消息」。系統隨即會顯示含有動態饋給詳細資料的對話方塊。如果資訊提供失敗，請依序點選「詳細資料」 >「狀態」，查看錯誤詳細資料。

如果動態饋給上傳失敗，詳細資料會顯示錯誤原因和修正步驟。 下表說明使用資料動態饋給時可能會遇到的錯誤訊息：

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。