Google Cloud IoT-Logs erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Google Cloud IoT-Logs mit Cloud Storage in Google Security Operations exportieren. Der Parser extrahiert Felder aus JSON-formatierten Logs und ordnet diese Felder dann den entsprechenden Feldern im Google SecOps UDM-Schema zu. So werden Rohlogdaten in ein strukturiertes Format umgewandelt, das für Sicherheitsanalysen geeignet ist.

Vorbereitung

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • IoT ist in Ihrer Google Cloud Umgebung eingerichtet und aktiv.
  • Privilegierter Zugriff auf Google Cloud.

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. cloudiot-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

  5. Klicken Sie auf Erstellen.

Protokollexport in Google Cloud IoT konfigurieren

  1. Melden Sie sich mit Ihrem privilegierten Konto im Google Cloud-Konto an.
  2. Suchen Sie in der Suchleiste nach Logging und wählen Sie die Option aus.
  3. Filtern Sie die Logs im Log-Explorer, indem Sie Cloud IoT Core auswählen und auf Übernehmen klicken.
  4. Klicken Sie auf Weitere Aktionen.
  5. Klicken Sie auf Senke erstellen.
  6. Geben Sie die folgenden Konfigurationen an:
    1. Senkendetails: Geben Sie einen Namen und eine Beschreibung ein.
    2. Klicken Sie auf Weiter.
    3. Senkenziel: Wählen Sie Cloud Storage-Bucket aus.
    4. Cloud Storage-Bucket: Wählen Sie den zuvor erstellten Bucket aus oder erstellen Sie einen neuen Bucket.
    5. Klicken Sie auf Weiter.
    6. Logs auswählen, die in der Senke enthalten sind: Wenn Sie eine Option in Cloud Storage-Bucket auswählen, wird ein Standardlog eingefügt.
    7. Klicken Sie auf Weiter.
    8. Optional: Logs zum Filtern aus der Senke auswählen: Wählen Sie die Logs aus, die nicht in die Senke aufgenommen werden sollen.

  7. Klicken Sie auf Senke erstellen.

  8. Rufen Sie in der GCP Console Logging > Log Router auf.

  9. Klicken Sie auf Senke erstellen.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. GCP Cloud IoT Logs (GCP Cloud IoT-Logs).
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie GCP Cloud IoT als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.

    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.

    • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Standardwert: 180 Tage

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
insertId metadata.product_log_id Direkt aus dem Feld insertId zugeordnet.
jsonPayload.eventType metadata.product_event_type Direkt aus dem Feld jsonPayload.eventType zugeordnet.
jsonPayload.protocol network.application_protocol Direkt aus dem Feld jsonPayload.protocol zugeordnet.
jsonPayload.serviceName target.application Direkt aus dem Feld jsonPayload.serviceName zugeordnet.
jsonPayload.status.description metadata.description Direkt aus dem Feld jsonPayload.status.description zugeordnet.
jsonPayload.status.message security_result.description Direkt aus dem Feld jsonPayload.status.message zugeordnet.
labels.device_id principal.asset_id Der Wert wird auf Device ID: gesetzt, verkettet mit dem Wert des Felds labels.device_id.
receiveTimestamp metadata.event_timestamp Wird aus dem Feld receiveTimestamp geparst und zum Ausfüllen von events.timestamp und metadata.event_timestamp verwendet.
resource.labels.device_num_id target.resource.product_object_id Direkt aus dem Feld resource.labels.device_num_id zugeordnet.
resource.labels.location target.location.name Direkt aus dem Feld resource.labels.location zugeordnet.
resource.labels.project_id target.resource.name Direkt aus dem Feld resource.labels.project_id zugeordnet.
resource.type target.resource.resource_subtype Direkt aus dem Feld resource.type zugeordnet.
die Ausprägung security_result.severity Wird aus dem Feld severity anhand der folgenden Logik abgeleitet:
 – Wenn severity DEFAULT, DEBUG, INFO oder NOTICE ist, wird security_result.severity auf INFORMATIONAL festgelegt.
 – Wenn severity gleich WARNING oder ERROR ist, wird security_result.severity auf MEDIUM gesetzt.
 – Wenn severity CRITICAL, ALERT oder EMERGENCY ist, wird security_result.severity auf HIGH festgelegt.
metadata.log_type Hartcodiert auf GCP_CLOUDIOT.
metadata.vendor_name Hartcodiert auf Google Cloud Platform.
metadata.event_type Hartcodiert auf GENERIC_EVENT.
metadata.product_name Hartcodiert auf GCP_CLOUDIOT.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten