Raccogliere i log di Cloud Intrusion Detection System (Cloud IDS)
Questo documento spiega come esportare ed eseguire l'importazione dei log di Cloud IDS in Google Security Operations utilizzando Cloud Storage. Il parser trasforma i log Cloud IDS non elaborati in formato JSON in un formato UDM strutturato. Google Cloud Estrae i campi pertinenti, li mappa allo schema UDM, classifica gli eventi e arricchisce i dati con un contesto aggiuntivo, come la direzione della rete e i tipi di risorse.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati che Cloud IDS sia configurato e attivo nel tuo Google Cloud ambiente.
- Assicurati di disporre dell'accesso con privilegi a Google Cloud e delle autorizzazioni appropriate per accedere a Cloud IDS.
Crea un bucket Cloud Storage
- Accedi alla console Google Cloud.
Vai alla pagina Bucket Cloud Storage.
Fai clic su Crea.
Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:
Nella sezione Inizia:
- Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio gcp-ids-logs.
Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:
- Seleziona un Tipo di località.
Utilizza il menu del tipo di località per selezionare una Località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.
Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.
Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.
Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
- Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
- Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.
Fai clic su Crea.
Configurare l'esportazione dei log di Cloud IDS
- Accedi alla console Google Cloud.
- Vai a Logging > Router dei log.
- Fai clic su Crea sink.
Fornisci i seguenti parametri di configurazione:
- Nome sink: inserisci un nome significativo, ad esempio
google-cloud-ids-logs-sink. - Destinazione della destinazione: seleziona Cloud Storage e fornisci l' Google Cloud URI del bucket di archiviazione, ad esempio
gs://gcp-ids-logs. Filtro log:
logName="projects/<your-project-id>/logs/cloud-ids"
- Nome sink: inserisci un nome significativo, ad esempio
Fai clic su Crea.
Configura le autorizzazioni per Cloud Storage
- Vai a IAM e amministrazione > IAM.
- Individua l'account di servizio Cloud Logging.
- Concedi il ruolo roles/storage.admin al bucket.
Configura un feed in Google SecOps per importare i log di Cloud IDS
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log IDS di Google Cloud.
- Seleziona Google Cloud Storage come Tipo di origine.
- Seleziona ID di Google Cloud come Tipo di log.
- Fai clic su Ottieni account di servizio accanto al campo Account di servizio Chronicle.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI del bucket di archiviazione: URL del bucket Cloud Storage, ad esempio
gs://gcp-ids-logs. - URI è: seleziona Directory che include sottodirectory.
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- URI del bucket di archiviazione: URL del bucket Cloud Storage, ad esempio
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
| insertId | metadata.product_log_id | Mappatura diretta. |
| jsonPayload.alert_severity | security_result.severity | Mappatura diretta. |
| jsonPayload.alert_time | metadata.event_timestamp | Mappatura diretta. |
| jsonPayload.application | principal.application | Mappatura diretta, solo se la direzione è server-to-client. |
| jsonPayload.application | target.application | Mappatura diretta, solo se la direzione è client-to-server o se logName contiene traffic. |
| jsonPayload.category | security_result.category | Mappato in base al valore di "jsonPayload.category": - 'dos': NETWORK_DENIAL_OF_SERVICE - 'info-leak': NETWORK_SUSPICIOUS - 'protocol-anomaly': NETWORK_MALICIOUS - 'backdoor', 'spyware', 'trojan': SOFTWARE_MALICIOUS |
| jsonPayload.category | security_result.category_details | Mappatura diretta. |
| jsonPayload.cves | extensions.vulns.vulnerabilities.cve_id | Mappatura diretta, con iterazione sull'array. |
| jsonPayload.destination_ip_address | target.ip | Mappatura diretta. |
| jsonPayload.destination_port | target.port | Mappatura diretta. |
| jsonPayload.details | extensions.vulns.vulnerabilities.description | Mappatura diretta. |
| jsonPayload.details | security_result.detection_fields.value | Mappato se esiste "jsonPayload.repeat_count". La chiave è impostata su "repeat_count". |
| jsonPayload.direction | network.direction | Mappato in base al valore di "jsonPayload.direction": - "client-to-server": OUTBOUND - "server-to-client": INBOUND |
| jsonPayload.elapsed_time | network.session_duration.seconds | Mappatura diretta. |
| jsonPayload.ip_protocol | network.ip_protocol | Mappatura diretta, conversione in lettere maiuscole e mappatura al numero di protocollo. |
| jsonPayload.name | security_result.threat_name | Mappatura diretta. |
| jsonPayload.network | principal.resource.name | Mappatura diretta, solo se la direzione è server-to-client. |
| jsonPayload.network | target.resource.name | Mappatura diretta, solo se la direzione è client-to-server o se logName contiene traffic. |
| jsonPayload.repeat_count | security_result.detection_fields.value | Mappato se esistente. La chiave è impostata su "repeat_count". |
| jsonPayload.session_id | network.session_id | Mappatura diretta. |
| jsonPayload.source_ip_address | principal.ip | Mappatura diretta. |
| jsonPayload.source_port | principal.port | Mappatura diretta. |
| jsonPayload.start_time | about.labels.value | Mappato se esistente. La chiave è impostata su "start_time". |
| jsonPayload.start_time | additional.fields.value.string_value | Mappato se esistente. La chiave è impostata su "start_time". |
| jsonPayload.threat_id | security_result.threat_id | Mappatura diretta. |
| jsonPayload.total_bytes | about.labels.value | Mappato se esistente. La chiave è impostata su "total_bytes". |
| jsonPayload.total_bytes | additional.fields.value.string_value | Mappato se esistente. La chiave è impostata su "total_bytes". |
| jsonPayload.total_packets | about.labels.value | Mappato se esistente. La chiave è impostata su "total_packets". |
| jsonPayload.total_packets | additional.fields.value.string_value | Mappato se esistente. La chiave è impostata su "total_packets". |
| jsonPayload.type | security_result.detection_fields.value | Mappato se esistente. La chiave è impostata su "type". |
| jsonPayload.uri_or_filename | target.file.full_path | Mappatura diretta. |
| logName | security_result.category_details | Mappatura diretta. |
| receiveTimestamp | metadata.collected_timestamp | Mappatura diretta. |
| resource.labels.id | observer.resource.product_object_id | Mappatura diretta. |
| resource.labels.location | observer.location.name | Mappatura diretta. |
| resource.labels.resource_container | observer.resource.name | Mappatura diretta. |
| resource.type | observer.resource.resource_subtype | Mappatura diretta. |
| metadata.event_type | Determinato da un insieme di regole condizionali basate sulla presenza e sui valori di altri campi. Il valore predefinito è "GENERIC_EVENT". | |
| metadata.vendor_name | Valore statico: Google Cloud Platform. |
|
| metadata.product_name | Valore statico: GCP_IDS. |
|
| metadata.log_type | Valore statico: GCP_IDS. |
|
| extensions.vulns.vulnerabilities.vendor | Valore statico: GCP_IDS, aggiunto per ogni CVE in "jsonPayload.cves". |
|
| principal.resource.resource_type | Valore statico: VPC_NETWORK, aggiunto se esiste "jsonPayload.network" e la direzione è dal server al client. |
|
| target.resource.resource_type | Valore statico: VPC_NETWORK, aggiunto se esiste "jsonPayload.network" e la direzione è client-to-server o logName contiene traffic. |
|
| observer.resource.resource_type | Valore statico: CLOUD_PROJECT, aggiunto se esiste "resource.labels.resource_container" o "resource.type". |
|
| observer.resource.attribute.cloud.environment | Valore statico: GOOGLE_CLOUD_PLATFORM, aggiunto se esiste "resource.labels.resource_container" o "resource.type". |
|
| is_alert | Vero se "jsonPayload.alert_severity" è "CRITICAL", altrimenti falso. | |
| is_significant | Vero se "jsonPayload.alert_severity" è "CRITICAL", altrimenti falso. |
Modifiche
2024-05-01
- Sono state aggiunte altre mappature per
noun.labelsnon più supportato.
2023-12-13
- L'analizzatore sintattico GCP_IDS è stato impostato come predefinito.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.