將資料擷取至 Google Security Operations Google Cloud

本頁面說明如何啟用及停用 Google Cloud 將資料擷取至 Google SecOps 的功能。您可以根據資料保留期限，儲存、搜尋及檢查企業的匯總安全資訊，時間可回溯至數月前或更久。

總覽

您可以透過以下兩種方法將資料傳送至 Google SecOps。 Google Cloud 選擇合適的選項取決於記錄檔類型。

選項 1：直接擷取

您可以在 Google Cloud 中設定特殊的 Cloud Logging 篩選器，將特定記錄類型即時傳送至 Google SecOps。這些記錄是由 Google Cloud 服務產生。 系統會從設定篩選條件的時間開始收集記錄。系統不會納入設定前產生的記錄。 這項即時轉送功能適用於 Cloud Logging、Cloud 資產中繼資料和 Security Command Center Premium 發現項目。

Google Security Operations 只會擷取支援的記錄類型。可用的記錄類型包括：

• Cloud 稽核記錄
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• 雲端入侵偵測系統
• Cloud Load Balancing
• Cloud SQL
• Windows 事件記錄檔
• Linux 系統記錄
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• 稽核精靈 (auditd)
• Apigee
• reCAPTCHA Enterprise
• Cloud Run 記錄檔 (GCP_RUN)
• Google Cloud 濫用事件

如要瞭解特定記錄篩選器和更多擷取詳細資料，請參閱「將記錄檔匯出 Google Cloud 至 Google SecOps」。

您也可以傳送 Google Cloud 用於內容擴充的資產中繼資料。詳情請參閱「將資產中繼資料 Google Cloud 匯出至 Google SecOps」。

選項 2： Google Cloud 儲存空間

Google SecOps 可以排定時間，將記錄檔轉送至 Cloud Storage。

如要瞭解如何為 Google SecOps 設定 Cloud Storage，請參閱「動態饋給管理：Cloud Storage」。

事前準備

如要將資料擷取至 Google SecOps 執行個體，請先完成下列步驟： Google Cloud

1. 在機構層級授予下列 IAM 角色，即可存取 Google SecOps 專區：

   • Chronicle 服務管理員 (roles/chroniclesm.admin)：執行所有活動的 IAM 角色。
   • Chronicle 服務檢視者 (roles/chroniclesm.viewer)：IAM 角色，僅能查看擷取狀態。
   • 安全中心管理編輯者 (roles/securitycenter.adminEditor)：啟用擷取 Cloud 資產中繼資料時需要這項權限。

2. 如要啟用 Cloud 資產中繼資料，請先完成開始使用 Security Command Center 的程序。詳情請參閱「機構層級啟用總覽」。

授予 IAM 角色

您可以使用 Google Cloud 控制台或 gcloud CLI 授予必要的 IAM 角色。

如要使用 Google Cloud 控制台授予 IAM 角色，請完成下列步驟：

1. 登入要連結的 Google Cloud 機構，然後依序前往「產品」>「IAM 與管理」>「IAM」，進入「IAM」畫面。

2. 在「IAM」畫面中選取使用者，然後按一下「編輯成員」。

3. 在「編輯權限」畫面中，按一下「新增其他角色」，然後搜尋 Google SecOps 找出 IAM 角色。

4. 指派角色後，按一下「儲存」。

如要使用 Google Cloud CLI 授予 IAM 角色，請完成下列步驟：

1. 執行 gcloud init，確認您已登入正確的機構和專案。

2. 如要使用 gcloud 授予 Chronicle 服務管理員 IAM 角色，請執行下列指令：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   更改下列內容：

   • ORGANIZATION_ID：機構的數值 ID。
   • USER_EMAIL：使用者的電子郵件地址。

3. 如要使用 gcloud 授予 Chronicle 服務檢視者 IAM 角色，請執行下列指令：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. 如要使用 gcloud 授予安全中心管理員編輯者角色，請執行下列指令：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

啟用從 Google Cloud直接擷取

啟用從 Google Cloud 直接擷取資料的步驟，取決於 Google SecOps 執行個體繫結的專案擁有權。

• 如果繫結至您擁有及管理的專案，請按照「客戶擁有專案時設定擷取作業」一文中的步驟操作。這個方法可讓您設定從多個 Google Cloud 機構擷取資料。

• 如果繫結至 Google Cloud 擁有及管理的專案，請按照「為 Google 管理的專案設定擷取作業」一文中的步驟操作。

設定直接擷取後，資料就會傳送至 Google SecOps。 Google Cloud 您可以使用 Google SecOps 的分析功能調查安全性相關問題。

在客戶擁有專案時設定擷取作業

如果你是 Google Cloud 專案擁有者，請按照下列步驟操作。

您可以使用相同的專案層級設定頁面，設定從多個機構直接擷取資料。如要建立新設定及編輯現有設定，請按照下列步驟操作。

遷移現有 Google SecOps 執行個體，使其繫結至您擁有的專案時，如果遷移前已設定直接擷取功能，系統也會遷移直接擷取設定。

1. 前往 Google Cloud 控制台的「Google SecOps」 >「Ingestion Settings」(擷取設定) 頁面。
   前往 Google SecOps 頁面
2. 選取與 Google SecOps 執行個體繫結的專案。

3. 在「機構」選單中，選取要匯出記錄的機構。選單會顯示您有權存取的機構。清單可以包含未連結至 Google SecOps 執行個體的機構。您無法設定將資料傳送至其他 Google SecOps 執行個體的機構。

   

4. 在「Google Cloud 擷取設定」部分下方，點選「將資料傳送至 Google Security Operations」切換按鈕，啟用將記錄傳送至 Google SecOps 的功能。

5. 選取下列一或多個選項，定義要傳送至 Google SecOps 的資料類型：

   • Google Cloud Logging：如要進一步瞭解這個選項，請參閱「匯出 Google Cloud 記錄檔」。
   • 雲端資產中繼資料：如要進一步瞭解這個選項，請參閱匯出 Google Cloud 資產中繼資料。
   • Security Center Premium 發現項目：如要進一步瞭解這個選項，請參閱「匯出 Security Center Premium 發現項目」。

6. 在「客戶匯出篩選器設定」部分，設定匯出篩選器，自訂傳送至 Google SecOps 的 Cloud Logging 資料。請參閱Google Cloud 支援匯出的記錄類型。

7. 如要將其他機構的記錄擷取至同一個 Google SecOps 執行個體，請從「機構」選單中選取機構，然後重複上述步驟，定義要匯出的資料類型和匯出篩選條件。「機構」選單中會列出多個機構。

8. 如要將 Sensitive Data Protection 資料 (先前稱為 Google Cloud Data Loss Prevention 資料) 匯出至 Google SecOps，請參閱「匯出 Sensitive Data Protection 資料」。

為 Google 管理的專案設定擷取作業

如果 Google Cloud 擁有專案，請按照下列步驟，設定從 Google Cloud 機構直接擷取資料至 Google SecOps 執行個體：

1. 在 Google Cloud 控制台中，依序前往「Google SecOps」 >「Overview」(總覽) >「Ingestion」(擷取) 分頁。 前往 Google SecOps 的「擷取」分頁
2. 按一下「管理機構擷取設定」按鈕。
3. 如果出現「無法查看專案相關頁面」訊息，請選取機構，然後按一下「選取」。
4. 在「Google Security Operations 一次性存取代碼」欄位中輸入一次性存取代碼。
5. 勾選標示為「我同意條款及細則，允許 Google SecOps 使用我的 Google Cloud 資料」的方塊。
6. 按一下「連結 Google SecOps」。
7. 前往機構的「全域擷取設定」分頁。

8. 啟用下列一或多個選項，選取要傳送的資料類型：

   • Google Cloud Logging：如要進一步瞭解這個選項，請參閱「匯出 Google Cloud 記錄檔」。
   • 雲端資產中繼資料：如要進一步瞭解這個選項，請參閱「匯出 Google Cloud 資產中繼資料」。
   • Security Center Premium 發現項目：如要進一步瞭解這個選項，請參閱「匯出 Security Center Premium 發現項目」。

9. 前往「匯出篩選器設定」分頁。

10. 在「客戶匯出篩選器設定」部分，設定匯出篩選器，自訂傳送至 Google SecOps 的 Cloud Logging 資料。請參閱Google Cloud 支援匯出的記錄類型。

11. 如要將 Sensitive Data Protection 資料 (先前稱為 Google Cloud Data Loss Prevention 資料) 匯出至 Google SecOps，請參閱「匯出 Sensitive Data Protection 資料」。

匯出 Google Cloud 記錄

啟用 Cloud Logging 後，您可以將支援的Google Cloud 記錄類型記錄資料匯出至 Google SecOps 執行個體。

如要將記錄匯出至 Google SecOps，請將「啟用 Cloud 記錄」 Google Cloud 切換鈕設為「已啟用」。

支援匯出的記錄類型

您可以自訂記錄的匯出篩選器，然後匯出至 Google SecOps。新增或移除下列清單中支援的匯出篩選器，即可納入或排除記錄類型：

您可以將下列 Google Cloud 記錄類型匯出至 Google SecOps 執行個體。以下清單按記錄類型和對應的 Google SecOps 擷取標籤分類：

• Cloud 稽核記錄 (GCP_CLOUDAUDIT)：

  包括管理員活動、資料存取、系統事件、資料存取透明化控管機制和政策遭拒記錄。

  • log_id("cloudaudit.googleapis.com/activity") (由預設篩選器匯出)
  • log_id("cloudaudit.googleapis.com/system_event") (由預設篩選器匯出)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Cloud NAT 記錄 (GCP_CLOUD_NAT)：

  • log_id("compute.googleapis.com/nat_flows")

• Cloud DNS 記錄 (GCP_DNS)：

  • log_id("dns.googleapis.com/dns_queries") (由預設篩選器匯出)

• Cloud Next Generation Firewall 記錄 (GCP_FIREWALL)：

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS：

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING：

  包括 Google Cloud Armor 和 Cloud Load Balancing 的記錄。

  • log_id("requests")

• GCP_CLOUDSQL：

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM：

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
  • log_id("osconfig.googleapis.com/patch_job")

• LINUX_SYSMON：

  • log_id("sysmon.raw")

• WINEVTLOG：

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON：

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE：

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD：

  • log_id("audit_log")

• GCP_APIGEE_X：

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE：

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN：

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE：

  • log_id("networksecurity.googleapis.com/firewall_threat")

• GCP_ABUSE_EVENTS：

  • log_id("abuseevent.googleapis.com/abuseevent")

自訂匯出篩選器設定

根據預設，Cloud 稽核記錄 (管理員活動和系統事件) 和 Cloud DNS 記錄會傳送至 Google SecOps 執行個體。不過，您可以自訂匯出篩選器，納入或排除特定類型的記錄。

如要為記錄檔定義自訂篩選器，請按照下列步驟操作：

1. 使用記錄範圍設定工具，找出自訂篩選器的記錄。

2. 在記錄範圍工具下方的「自動產生的記錄篩選器」部分，複製產生的自訂記錄篩選器程式碼。

3. 前往 Google Cloud 控制台的「Google SecOps」頁面，然後選取專案。
   前往 Google SecOps 頁面
   

4. 使用「匯出篩選器設定」分頁中的連結啟動記錄檔探索器。

5. 將新查詢複製到「Query」(查詢) 欄位，然後按一下「Run Query」(執行查詢) 進行測試。

6. 將新查詢複製到「記錄檔探索工具」 >「查詢」欄位，然後按一下「執行查詢」進行測試。

7. 確認「記錄檔探索器」中顯示的相符記錄，是否與您要匯出至 Google SecOps 的記錄完全一致。篩選器準備就緒後，請將其複製到 Google SecOps 的「自訂匯出篩選器設定」部分。

8. 返回 Google SecOps 頁面的「自訂匯出篩選器設定」部分。

9. 按一下「匯出篩選器」欄位中的「編輯」圖示，然後將複製的篩選器貼到該欄位。

10. 按一下 [儲存]。

    • 如果出現「您提供的篩選器可能會加入不支援的記錄類型」錯誤訊息，表示匯出篩選器可能包含不支援的記錄類型。從匯出篩選器中移除不支援的記錄類型。只納入「Google Cloud 支援匯出的記錄類型」中列出的記錄類型。

    • 儲存成功後，新的自訂篩選器就會套用至匯出至 Google SecOps 執行個體的所有新記錄。

    • 選用步驟：如要將匯出篩選器重設為預設版本，請儲存自訂篩選器的副本，然後按一下「重設為預設」。

調整 Cloud 稽核記錄篩選器

Cloud Audit Logs 寫入的資料存取記錄可能會產生大量資料，但對威脅偵測的價值不大。如果您選擇將這些記錄傳送至 Google SecOps，請篩除例行活動產生的記錄。

下列匯出篩選器會擷取資料存取記錄，並排除大量事件，例如 Cloud Storage 和 Cloud SQL 的讀取和列出作業：

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

如要進一步瞭解如何調整 Cloud 稽核記錄產生的資料存取記錄，請參閱「管理資料存取稽核記錄的數量」一文。

匯出篩選器範例

以下匯出篩選器範例說明如何從匯出至 Google SecOps 執行個體的記錄中，納入或排除特定類型的記錄。

匯出篩選器範例：納入其他記錄檔類型

除了預設記錄外，下列匯出篩選器還會匯出資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

匯出篩選器範例：納入特定專案的其他記錄

除了預設記錄，下列匯出篩選器也會匯出特定專案的資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

匯出篩選器範例：納入特定資料夾中的其他記錄

除了預設記錄檔，下列匯出篩選器也會匯出特定資料夾的資料存取透明化控管機制記錄：

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

匯出篩選器範例：排除特定專案的記錄

下列匯出篩選器會匯出整個 Google Cloud 機構的預設記錄，但特定專案除外：

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

匯出 Google Cloud 資產中繼資料

您可以將 Cloud Asset Inventory 中的 Google Cloud 資產中繼資料匯出至 Google SecOps。 這項資產中繼資料來自 Cloud Asset Inventory，包含資產、資源和身分識別的相關資訊，包括：

• 環境
• 位置
• 可用區
• 硬體型號
• 資源與身分之間的存取權控管關係

下列類型的 Google Cloud 資產中繼資料會匯出至 Google SecOps 執行個體：

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

以下是 Google Cloud 資產中繼資料的範例：

• 應用程式名稱：Google-iamSample/0.1
• 專案名稱：projects/my-project

如要將 Google Cloud 資產中繼資料匯出至 Google SecOps，請將「Cloud 資產中繼資料」切換鈕設為「已啟用」。

如要進一步瞭解如何匯出特定內容記錄並匯入 Google SecOps，請參閱「預設剖析器設定和擷取」，然後搜尋「context」或「analysis」。

匯出 Security Command Center 發現項目

您可以將 Security Command Center Premium Event Threat Detection 發現項目和所有其他發現項目匯出至 Google SecOps。

如要進一步瞭解 ETD 發現項目，請參閱「Event Threat Detection 總覽」。

如要將 Security Command Center Premium 發現項目匯出至 Google SecOps，請將「Security Command Center Premium Findings」切換鈕設為「Enabled」。

匯出 Sensitive Data Protection 資料

您可以將機密資料防護資料匯出至 Google SecOps。

如要擷取 Sensitive Data Protection 資產中繼資料 (DLP_CONTEXT)，請執行下列操作：

1. 完成本文件的上一節，啟用 Google Cloud 資料擷取功能。
2. 設定 Sensitive Data Protection，剖析資料。
3. 將掃描設定設為發布資料剖析至 Google SecOps。

如要進一步瞭解如何建立 BigQuery 資料的資料剖析檔，請參閱 Sensitive Data Protection 說明文件。

停用 Google Cloud 資料擷取

停用從 Google Cloud 直接擷取資料的步驟，會因 Google SecOps 的設定方式而異。選擇下列其中一個選項：

• 如果 Google SecOps 執行個體繫結至您擁有及管理的專案，請執行下列步驟：

  1. 選取與 Google SecOps 執行個體繫結的專案。
  2. 前往 Google Cloud 控制台的「Google SecOps」下方的「Ingestion」分頁。
     前往 Google SecOps 頁面
  3. 在「機構」選單中，選取要匯出記錄的機構。
  4. 將「將資料傳送至 Google Security Operations」切換鈕設為「已停用」。
  5. 如果您設定從多個機構匯出資料，且想一併停用這些匯出作業，請為每個機構執行下列步驟。

• 如果 Google SecOps 執行個體繫結至 Google Cloud 擁有 及管理的專案，請執行下列步驟：

  1. 前往 Google Cloud 控制台的「Google SecOps」>「Ingestion」(擷取) 頁面。
     前往 Google SecOps 頁面
  2. 在資源選單中，選取與 Google SecOps 執行個體繫結的機構，以及您要從中擷取資料的機構。
  3. 勾選「我希望中斷與 Google SecOps 的連結，並停止將記錄傳入 Google SecOps」 Google Cloud 方塊。
  4. 按一下「中斷 Google SecOps 連線」。

控管擷取率

當租戶的資料擷取率達到特定門檻時，Google Security Operations 會限制新資料饋給的擷取率，避免擷取率高的來源影響其他資料來源的擷取率。在這種情況下，資料會延遲傳送，但不會遺失。系統會根據擷取量和租戶的使用記錄決定門檻。

如要提高頻率限制，請與 Cloud Customer Care 團隊聯絡。

疑難排解

• 如果 Google SecOps 執行個體缺少資源與身分之間的關係，請停用並重新啟用直接擷取記錄資料至 Google SecOps 的功能。
• Google Cloud 資產中繼資料會定期匯入 Google SecOps。變更需要數小時才會顯示在 Google SecOps UI 和 API 中。

• 將記錄類型新增至匯出篩選器時，您可能會看到以下訊息：「您提供的篩選器可能會加入不支援的記錄類型」。

  解決方法：只在匯出篩選器中加入下列清單中的記錄類型：Google Cloud 支援匯出的記錄類型。

後續步驟

• 使用 Google SecOps 代表提供的客戶專屬網址，開啟 Google SecOps 執行個體。
• 進一步瞭解 Google SecOps。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。