Mengambil data Google Cloud ke Google Security Operations

Didukung di:

Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Google Cloud transfer data ke Google SecOps. Dengan demikian, Anda dapat menyimpan, menelusuri, dan memeriksa informasi keamanan gabungan untuk perusahaan Anda, yang mencakup data beberapa bulan atau lebih lama, sesuai dengan periode retensi data Anda.

Ringkasan

Ada dua opsi untuk mengirim Google Cloud data ke Google SecOps. Memilih opsi yang tepat bergantung pada jenis log.

Opsi 1: Proses transfer langsung

Filter Cloud Logging khusus dapat dikonfigurasi di Google Cloud untuk mengirim jenis log tertentu ke Google SecOps secara real time. Log ini dibuat oleh layanan Google Cloud .

Google Security Operations hanya menyerap jenis log yang didukung. Jenis log yang tersedia meliputi:

  • Cloud Audit Logs
  • Cloud NAT
  • Cloud DNS
  • Cloud Next Generation Firewall
  • Cloud Intrusion Detection System
  • Cloud Load Balancing
  • Cloud SQL
  • Log aktivitas Windows
  • Syslog Linux
  • Sysmon Linux
  • Zeek
  • Google Kubernetes Engine
  • Audit Daemon (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Log Cloud Run (GCP_RUN)

Untuk mengetahui detail tentang filter log tertentu dan detail penyerapan lainnya, lihat Mengekspor Google Cloud log ke Google SecOps.

Anda juga dapat mengirim Google Cloud metadata aset yang digunakan untuk pengayaan konteks. Untuk mengetahui detailnya, lihat Mengekspor Google Cloud metadata aset ke Google SecOps.

Opsi 2: Google Cloud Penyimpanan

Cloud Logging dapat merutekan log ke Cloud Storage oleh Google SecOps secara terjadwal.

Untuk mengetahui detail tentang cara mengonfigurasi Cloud Storage untuk Google SecOps, lihat Pengelolaan Feed: Cloud Storage.

Sebelum memulai

Sebelum dapat menyerap data Google Cloud ke dalam instance Google SecOps, Anda harus menyelesaikan langkah-langkah berikut:

  1. Berikan peran IAM berikut yang diperlukan agar Anda dapat mengakses bagian Google SecOps:

    • Chronicle Service Admin (roles/chroniclesm.admin): Peran IAM untuk melakukan semua aktivitas.
    • Chronicle Service Viewer (roles/chroniclesm.viewer): Peran IAM untuk hanya melihat status penyerapan.
    • Security Center Admin Editor (roles/securitycenter.adminEditor): Diperlukan untuk mengaktifkan penyerapan Metadata Aset Cloud.

  2. Jika berencana mengaktifkan Metadata Aset Cloud, Anda harus melakukan aktivasi organisasi ke Security Command Center. Lihat Ringkasan aktivasi tingkat organisasi untuk mengetahui informasi selengkapnya.

Memberikan Peran IAM

Anda dapat memberikan peran IAM yang diperlukan menggunakan konsol Google Cloud atau menggunakan gcloud CLI.

Untuk memberikan peran IAM menggunakan konsol Google Cloud, selesaikan langkah-langkah berikut:

  1. Login ke Google Cloud organisasi yang ingin Anda hubungkan, lalu buka layar IAM menggunakan Products > IAM & Admin > IAM.

  2. Dari layar IAM, pilih pengguna, lalu klik Edit Anggota.

  3. Di layar Edit Izin, klik Tambahkan Peran Lain dan telusuri Google SecOps untuk menemukan peran IAM.

  4. Setelah menetapkan peran, klik Simpan.

Untuk memberikan peran IAM menggunakan Google Cloud CLI, selesaikan langkah-langkah berikut:

  1. Pastikan Anda login ke organisasi yang benar. Verifikasi hal ini dengan menjalankan perintah gcloud init.

  2. Untuk memberikan peran IAM Chronicle Service Admin menggunakan gcloud, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi numerik.
    • USER_EMAIL: alamat email pengguna.

  3. Untuk memberikan peran IAM Chronicle Service Viewer menggunakan gcloud, jalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Untuk memberikan peran Editor Admin Pusat Keamanan menggunakan gcloud, jalankan perintah berikut:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Mengaktifkan penyerapan langsung dari Google Cloud

Langkah-langkah untuk mengaktifkan penyerapan langsung dari Google Cloud berbeda-beda, bergantung pada kepemilikan project yang menjadi tempat instance Google SecOps Anda terikat.

Setelah Anda mengonfigurasi penyerapan langsung, Google Cloud data Anda akan dikirim ke Google SecOps. Anda dapat menggunakan fitur analisis Google SecOps untuk menyelidiki masalah terkait keamanan.

Mengonfigurasi proses transfer data saat project dimiliki oleh pelanggan

Lakukan langkah-langkah berikut jika Anda memiliki project Google Cloud .

Anda dapat mengonfigurasi penyerapan langsung dari beberapa organisasi menggunakan halaman konfigurasi tingkat project yang sama. Lakukan langkah-langkah berikut untuk membuat konfigurasi baru dan mengedit konfigurasi yang ada.

Saat Anda memigrasikan instance Google SecOps yang ada agar terikat dengan project yang Anda miliki, dan jika penyerapan langsung dikonfigurasi sebelum migrasi, konfigurasi penyerapan langsung juga akan dimigrasikan.

  1. Buka halaman Google SecOps > Ingestion Settings di konsol Google Cloud.
    Buka halaman Google SecOps
  2. Pilih project yang terikat dengan instance Google SecOps Anda.

  3. Di menu Organization, pilih organisasi tempat log akan diekspor. Menu ini menampilkan organisasi yang izin aksesnya Anda miliki. Daftar ini dapat mencakup organisasi yang tidak ditautkan ke instance Google SecOps. Anda tidak dapat mengonfigurasi organisasi yang mengirim data ke instance Google SecOps yang berbeda.

    Pilih organisasi

  4. Di bagian Setelan Google Cloud Ingestion, klik tombol Sending data to Google Security Operations untuk mengaktifkan log yang akan dikirim ke Google SecOps.

  5. Pilih satu atau beberapa opsi berikut untuk menentukan jenis data yang dikirim ke Google SecOps:

  6. Di bagian Setelan filter ekspor pelanggan, konfigurasikan filter ekspor untuk menyesuaikan data Cloud Logging yang dikirim ke Google SecOps. Lihat Google Cloud jenis log yang didukung untuk ekspor.

  7. Untuk menyerap log dari organisasi tambahan ke instance Google SecOps yang sama, pilih organisasi dari menu Organization, lalu ulangi langkah-langkah untuk menentukan jenis data yang akan diekspor dan filter ekspor. Anda akan melihat beberapa organisasi tercantum di menu Organization.

  8. Untuk mengekspor data Sensitive Data Protection (sebelumnya disebut data Cloud Data Loss Prevention) ke Google SecOps, lihat Mengekspor data Sensitive Data Protection.

Mengonfigurasi proses transfer saat project dimiliki oleh Google Cloud

Jika Google Cloud memiliki project, lakukan hal berikut untuk mengonfigurasi penyerapan langsung dari organisasi Google Cloud Anda ke instance Google SecOps:

  1. Buka tab Google SecOps > Ringkasan > Penyerapan di konsol Google Cloud. Buka tab Proses Transfer Google SecOps
  2. Klik tombol Kelola setelan penyerapan organisasi.
  3. Jika pesan Halaman tidak dapat dilihat untuk project muncul, pilih organisasi, lalu klik Select.
  4. Masukkan kode akses satu kali di kolom Kode akses Google SecOps 1 kali.
  5. Centang kotak berlabel Saya menyetujui persyaratan dan ketentuan penggunaan Google Cloud data saya oleh Google SecOps.
  6. Klik Hubungkan Google SecOps.
  7. Buka tab Setelan Proses Transfer Global untuk organisasi.

  8. Pilih jenis data yang akan dikirim dengan mengaktifkan satu atau beberapa opsi berikut:

  9. Buka tab Export Filter Settings.

  10. Di bagian Setelan filter ekspor pelanggan, konfigurasikan filter ekspor untuk menyesuaikan data Cloud Logging yang dikirim ke Google SecOps. Lihat Google Cloud jenis log yang didukung untuk ekspor.

  11. Untuk mengekspor data Sensitive Data Protection (sebelumnya disebut data Cloud Data Loss Prevention) ke Google SecOps, lihat Mengekspor data Sensitive Data Protection.

Mengekspor log Google Cloud

Setelah mengaktifkan Cloud Logging, Anda dapat mengekspor data log untuk jenis logGoogle Cloud yang didukung ke instance Google SecOps.

Untuk mengekspor log Google Cloud ke Google SecOps, setel tombol Aktifkan log Cloud ke Aktif.

Jenis log yang didukung untuk ekspor

Anda dapat menyesuaikan filter ekspor log yang akan diekspor ke Google SecOps. Sertakan atau kecualikan jenis log dengan menambahkan atau menghapus filter ekspor yang didukung yang tercantum dalam daftar berikut:

Anda dapat mengekspor jenis log Google Cloud berikut ke instance Google SecOps. Daftar berikut disusun berdasarkan jenis log dan label penyerapan Google SecOps yang sesuai:

  • Cloud Audit Logs (GCP_CLOUDAUDIT):

    Hal ini mencakup: log Aktivitas Admin, Peristiwa Sistem, Transparansi Akses, dan Kebijakan Ditolak.

    • log_id("cloudaudit.googleapis.com/activity") (diekspor oleh filter default)
    • log_id("cloudaudit.googleapis.com/system_event") (diekspor oleh filter default)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")

  • Log Cloud NAT (GCP_CLOUD_NAT):

    • log_id("compute.googleapis.com/nat_flows")

  • Log Cloud DNS (GCP_DNS):

    • log_id("dns.googleapis.com/dns_queries") (diekspor oleh filter default)

  • Log Cloud Next Generation Firewall (GCP_FIREWALL):

    • log_id("compute.googleapis.com/firewall")

  • GCP_IDS:

    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")

  • GCP_LOADBALANCING:

    Hal ini mencakup log dari Google Cloud Armor dan Cloud Load Balancing.

    • log_id("requests")

  • GCP_CLOUDSQL:

    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")

  • NIX_SYSTEM:

    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")

  • LINUX_SYSMON:

    • log_id("sysmon.raw")

  • WINEVTLOG:

    • log_id("winevt.raw")
    • log_id("windows_event_log")

  • BRO_JSON:

    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")

  • KUBERNETES_NODE:

    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")

  • AUDITD:

    • log_id("audit_log")

  • GCP_APIGEE_X:

    • log_id("apigee.googleapis.com/ingress_instance")
    • log_id("apigee.googleapis.com")
    • log_id("apigee-logs")
    • log_id("apigee")
    • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

  • GCP_RECAPTCHA_ENTERPRISE:

    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")

  • GCP_RUN:

    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")

  • GCP_NGFW_ENTERPRISE:

    • log_id("networksecurity.googleapis.com/firewall_threat")

Menyesuaikan setelan filter ekspor

Secara default, Log Audit Cloud (Aktivitas Admin dan Peristiwa Sistem) dan log Cloud DNS Anda dikirim ke instance Google SecOps. Namun, Anda dapat menyesuaikan filter ekspor untuk menyertakan atau mengecualikan jenis log tertentu.

Untuk menentukan filter kustom untuk log, lakukan tindakan berikut:

  1. Identifikasi log untuk filter kustom Anda menggunakan alat cakupan log.

  2. Di bagian Auto-generated log filter yang mengikuti alat cakupan log, salin kode filter log kustom yang dihasilkan.

  3. Buka halaman Google SecOps di konsol Google Cloud dan pilih project.
    Buka halaman Google SecOps

  4. Luncurkan Logs Explorer menggunakan link di tab Setelan Filter Ekspor.

  5. Salin kueri baru Anda ke kolom Query, lalu klik Run Query untuk mengujinya.

  6. Salin kueri baru Anda ke kolom Logs Explorer > Query, lalu klik Run Query untuk mengujinya.

  7. Pastikan log yang cocok yang ditampilkan di Logs Explorer sama persis dengan log yang ingin Anda ekspor ke Google SecOps. Setelah filter siap, salin ke bagian Setelan filter ekspor kustom untuk Google SecOps.

  8. Kembali ke bagian Setelan filter ekspor kustom di halaman Google SecOps.

  9. Klik ikon Edit di kolom Export filter, lalu tempel filter yang disalin ke kolom.

  10. Klik Simpan.

    • Jika pesan error berikut muncul: "Filter yang diberikan dapat memungkinkan jenis log yang tidak didukung", mungkin ada jenis log yang tidak didukung yang disertakan dalam filter ekspor. Hapus jenis log yang tidak didukung dari filter ekspor. Hanya sertakan jenis log yang tercantum di: Google Cloud jenis log yang didukung untuk ekspor.

    • Jika penyimpanan berhasil, filter kustom baru Anda akan berfungsi untuk semua log baru yang diekspor ke instance Google SecOps.

    • Opsional: Untuk mereset filter ekspor ke versi default, simpan salinan filter kustom, lalu klik Reset to Default.

Menyesuaikan filter Cloud Audit Logs

Log Akses Data yang ditulis oleh Cloud Audit Logs dapat menghasilkan data dalam volume besar tanpa banyak nilai deteksi ancaman. Jika memilih untuk mengirim log ini ke Google SecOps, Anda harus memfilter log yang dihasilkan oleh aktivitas rutin.

Filter ekspor berikut merekam log akses data dan mengecualikan peristiwa bervolume tinggi seperti operasi Baca dan Cantumkan dari Cloud Storage dan Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Untuk informasi selengkapnya tentang cara menyesuaikan log Akses Data yang dihasilkan oleh Log Audit Cloud, lihat Mengelola volume log audit Akses Data.

Contoh Filter Ekspor

Contoh filter ekspor berikut menggambarkan cara menyertakan atau mengecualikan jenis log tertentu dari ekspor ke instance Google SecOps Anda.

Contoh Filter Ekspor: Menyertakan jenis log tambahan

Filter ekspor berikut mengekspor log transparansi akses selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Contoh Filter Ekspor: Menyertakan log tambahan dari project tertentu

Filter ekspor berikut mengekspor log transparansi akses dari project tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Menyertakan log tambahan dari folder tertentu

Filter ekspor berikut mengekspor log transparansi akses dari folder tertentu, selain log default:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Contoh Filter Ekspor: Mengecualikan log dari project tertentu

Filter ekspor berikut mengekspor log default dari seluruh Google Cloud organisasi, kecuali project tertentu:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Mengekspor Google Cloud metadata aset

Anda dapat mengekspor Google Cloud metadata aset dari Inventaris Aset Cloud ke Google SecOps. Metadata aset ini diambil dari Inventaris Aset Cloud Anda dan terdiri dari informasi tentang aset, resource, dan identitas Anda, termasuk hal berikut:

  • Lingkungan
  • Lokasi
  • Zona
  • Model hardware
  • Hubungan kontrol akses antara resource dan identitas

Jenis Google Cloud metadata aset berikut akan diekspor ke instance Google SecOps Anda:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Berikut adalah contoh Google Cloud metadata aset:

  • Nama aplikasi—Google-iamSample/0.1
  • Nama project—projects/my-project

Untuk mengekspor Google Cloud metadata aset ke Google SecOps, setel tombol Metadata Aset Cloud ke Diaktifkan.

Aktifkan Metadata Aset Cloud.

Untuk mengetahui informasi selengkapnya tentang parser konteks, lihat Parser konteks Google SecOps.

Mengekspor temuan Security Command Center

Anda dapat mengekspor temuan Deteksi Ancaman Peristiwa Security Command Center Premium dan semua temuan lainnya ke Google SecOps.

Untuk informasi selengkapnya tentang temuan ETD, lihat Ringkasan Event Threat Detection.

Untuk mengekspor temuan Security Command Center Premium ke Google SecOps, setel tombol Temuan Security Command Center Premium ke Diaktifkan.

Mengekspor data Perlindungan Data Sensitif

Anda dapat mengekspor data Perlindungan Data Sensitif ke Google SecOps.

Untuk menyerap metadata aset Perlindungan Data Sensitif (DLP_CONTEXT), lakukan tindakan berikut:

  1. Aktifkan Google Cloud penyerapan data dengan menyelesaikan bagian sebelumnya dalam dokumen ini.
  2. Konfigurasikan Perlindungan Data Sensitif untuk membuat profil data.
  3. Tetapkan konfigurasi pemindaian untuk memublikasikan profil data ke Google SecOps.

Lihat dokumentasi Perlindungan Data Sensitif untuk mengetahui informasi mendetail tentang cara membuat profil data untuk data BigQuery.

Menonaktifkan Google Cloud penyerapan data

Langkah-langkah untuk menonaktifkan penyerapan data langsung dari Google Cloud berbeda-beda, bergantung pada cara Google SecOps dikonfigurasi. Pilih salah satu opsi berikut:

  • Jika instance Google SecOps Anda terikat dengan project yang Anda miliki dan kelola, lakukan langkah-langkah berikut:

    1. Pilih project yang terikat dengan instance Google SecOps Anda.
    2. Di konsol Google Cloud, buka tab Ingestion di bagian Google SecOps.
      Buka halaman Google SecOps
    3. Di menu Organization, pilih organisasi tempat log diekspor.
    4. Setel tombol Mengirim data ke Google Security Operations ke Nonaktif.
    5. Jika Anda mengonfigurasi ekspor data dari beberapa Organisasi, dan Anda juga ingin menonaktifkannya, lakukan langkah-langkah ini untuk setiap organisasi.

  • Jika instance Google SecOps Anda terikat dengan project yang dimiliki dan dikelola oleh Google Cloud , lakukan langkah-langkah berikut:

    1. Buka halaman Google SecOps > Ingestion di konsol Google Cloud.
      Buka halaman Google SecOps
    2. Di menu resource, pilih organisasi yang terikat dengan instance Google SecOps Anda dan tempat Anda menyerap data.
    3. Centang kotak berlabel Saya ingin memutuskan hubungan Google SecOps dan berhenti mengirim Google Cloud Log ke Google SecOps.
    4. Klik Putuskan sambungan Google SecOps.

Mengontrol kecepatan penyerapan

Jika rasio penyerapan data untuk tenant mencapai nilai minimum tertentu, Operasi Keamanan Google akan membatasi rasio penyerapan untuk feed data baru guna mencegah sumber dengan rasio penyerapan tinggi memengaruhi rasio penyerapan sumber data lain. Dalam hal ini, ada penundaan, tetapi tidak ada data yang hilang. Volume penyerapan dan histori penggunaan tenant menentukan nilai minimum.

Anda dapat meminta peningkatan batas kapasitas dengan menghubungi Cloud Customer Care.

Pemecahan masalah

  • Jika hubungan antara resource dan identitas tidak ada di instance Google SecOps, nonaktifkan, lalu aktifkan kembali penyerapan data log langsung ke Google SecOps.
  • Google Cloud Metadata aset diserap secara berkala ke Google SecOps. Tunggu beberapa jam agar perubahan muncul di UI dan API Google SecOps.

  • Saat menambahkan jenis log ke filter ekspor, Anda mungkin melihat pesan ini: "Filter yang diberikan berpotensi mengizinkan jenis log yang tidak didukung".

    Solusi: Hanya sertakan jenis log ke filter ekspor, yang muncul dalam daftar berikut: Google Cloud jenis log yang didukung untuk ekspor.

Langkah berikutnya

  • Buka instance Google SecOps Anda menggunakan URL khusus pelanggan yang diberikan oleh perwakilan Google SecOps Anda.
  • Pelajari Google SecOps lebih lanjut.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.