Collecter les journaux IoT Google Cloud

Compatible avec :

Ce guide explique comment exporter les journaux IoT Google Cloud vers Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait les champs des journaux au format JSON, puis les mappe aux champs correspondants dans le schéma UDM de Google SecOps. Il transforme ainsi les données brutes des journaux en un format structuré adapté à l'analyse de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • IoT est configuré et actif dans votre environnement Google Cloud .
  • Accès privilégié à Google Cloud.

Créer un bucket Google Cloud Storage

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, cloudiot-logs).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux dans Google Cloud  IoT

  1. Connectez-vous à votre compte Google Cloud à l'aide de votre compte privilégié.
  2. Recherchez et sélectionnez Logging dans la barre de recherche.
  3. Dans l'explorateur de journaux, filtrez les journaux en sélectionnant Cloud IoT Core, puis cliquez sur Appliquer.
  4. Cliquez sur Autres actions.
  5. Cliquez sur Créer un récepteur.
  6. Fournissez les configurations suivantes :
    1. Détails du récepteur : saisissez un nom et une description.
    2. Cliquez sur Suivant.
    3. Destination du récepteur : sélectionnez Bucket Cloud Storage.
    4. Bucket Cloud Storage : sélectionnez le bucket créé précédemment ou créez-en un.
    5. Cliquez sur Suivant.
    6. Choisir les journaux à inclure dans le récepteur : un journal par défaut est renseigné lorsque vous sélectionnez une option dans le bucket Cloud Storage.
    7. Cliquez sur Suivant.
    8. Facultatif : Sélectionner les journaux à exclure du récepteur : sélectionnez les journaux que vous ne souhaitez pas synchroniser.

  7. Cliquez sur Créer un récepteur.

  8. Dans la console GCP, accédez à Logging > Routeur de journaux.

  9. Cliquez sur Créer un récepteur.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux GCP Cloud IoT).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez GCP Cloud IoT comme type de journal.
  7. Cliquez sur Obtenir un compte de service en tant que compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket Storage : URL du bucket Storage au format gs://my-bucket/<value>. Google Cloud
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket Storage : URL du bucket Storage au format gs://my-bucket/<value>. Google Cloud
  • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
insertId metadata.product_log_id Mappé directement à partir du champ insertId.
jsonPayload.eventType metadata.product_event_type Mappé directement à partir du champ jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Mappé directement à partir du champ jsonPayload.protocol.
jsonPayload.serviceName target.application Mappé directement à partir du champ jsonPayload.serviceName.
jsonPayload.status.description metadata.description Mappé directement à partir du champ jsonPayload.status.description.
jsonPayload.status.message security_result.description Mappé directement à partir du champ jsonPayload.status.message.
labels.device_id principal.asset_id La valeur est définie sur Device ID: concaténée avec la valeur du champ labels.device_id.
receiveTimestamp metadata.event_timestamp Analysé à partir du champ receiveTimestamp et utilisé pour remplir les champs events.timestamp et metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Mappé directement à partir du champ resource.labels.device_num_id.
resource.labels.location target.location.name Mappé directement à partir du champ resource.labels.location.
resource.labels.project_id target.resource.name Mappé directement à partir du champ resource.labels.project_id.
resource.type target.resource.resource_subtype Mappé directement à partir du champ resource.type.
de gravité, security_result.severity Mappé à partir du champ severity selon la logique suivante :
 – si severity est DEFAULT, DEBUG, INFO ou NOTICE, security_result.severity est défini sur INFORMATIONAL.
 : si severity est WARNING ou ERROR, security_result.severity est défini sur MEDIUM.
 : si severity est CRITICAL, ALERT ou EMERGENCY, security_result.severity est défini sur HIGH.
N/A metadata.log_type Codé en dur sur GCP_CLOUDIOT.
N/A metadata.vendor_name Codé en dur sur Google Cloud Platform.
N/A metadata.event_type Codé en dur sur GENERIC_EVENT.
N/A metadata.product_name Codé en dur sur GCP_CLOUDIOT.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.