Mengumpulkan log Google Cloud IoT

Didukung di:

Panduan ini menjelaskan cara mengekspor log IoT Google Cloud ke Google Security Operations menggunakan Cloud Storage. Parser mengekstrak kolom dari log berformat JSON, lalu memetakan kolom tersebut ke kolom yang sesuai dalam skema UDM Google SecOps, yang pada akhirnya mengubah data log mentah menjadi format terstruktur yang sesuai untuk analisis keamanan.

Sebelum Memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • IoT disiapkan dan aktif di lingkungan Google Cloud Anda.
  • Akses istimewa ke Google Cloud.

Membuat Bucket Google Cloud Storage

  1. Login ke konsolGoogle Cloud .

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, cloudiot-logs.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
      2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.

  5. Klik Buat.

Mengonfigurasi Ekspor Log di Google Cloud IoT

  1. Login ke akun Google Cloud menggunakan akun istimewa Anda.
  2. Telusuri dan pilih Logging di kotak penelusuran.
  3. Di Log Explorer, filter log dengan memilih Cloud IoT Core, lalu klik Apply.
  4. Klik Tindakan Lainnya.
  5. Klik Create Sink.
  6. Berikan konfigurasi berikut:
    1. Sink Details: masukkan nama dan deskripsi.
    2. Klik Berikutnya.
    3. Tujuan Sink: pilih Bucket Cloud Storage.
    4. Bucket Cloud Storage: pilih bucket yang dibuat sebelumnya atau buat bucket baru.
    5. Klik Berikutnya.
    6. Pilih Log untuk disertakan dalam Sink: log default akan diisi saat Anda memilih opsi di Bucket Cloud Storage.
    7. Klik Berikutnya.
    8. Opsional: Pilih Log untuk memfilter Sink: pilih log yang tidak ingin Anda sinkronkan.

  7. Klik Create Sink.

  8. Di konsol GCP, buka Logging > Log Router.

  9. Klik Create Sink.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, GCP Cloud IoT Logs.
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih GCP Cloud IoT sebagai Jenis log.
  7. Klik Dapatkan Akun Layanan sebagai Akun Layanan Chronicle.
  8. Klik Berikutnya.

  9. Tentukan nilai untuk parameter input berikut:

    • URI Bucket Penyimpanan:URL bucket penyimpanan Google Cloud dalam format gs://my-bucket/<value>.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari

  10. Klik Berikutnya.

  11. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
insertId metadata.product_log_id Dipetakan langsung dari kolom insertId.
jsonPayload.eventType metadata.product_event_type Dipetakan langsung dari kolom jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Dipetakan langsung dari kolom jsonPayload.protocol.
jsonPayload.serviceName target.application Dipetakan langsung dari kolom jsonPayload.serviceName.
jsonPayload.status.description metadata.description Dipetakan langsung dari kolom jsonPayload.status.description.
jsonPayload.status.message security_result.description Dipetakan langsung dari kolom jsonPayload.status.message.
labels.device_id principal.asset_id Nilai ditetapkan ke Device ID: yang digabungkan dengan nilai kolom labels.device_id.
receiveTimestamp metadata.event_timestamp Diuraikan dari kolom receiveTimestamp dan digunakan untuk mengisi events.timestamp dan metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Dipetakan langsung dari kolom resource.labels.device_num_id.
resource.labels.location target.location.name Dipetakan langsung dari kolom resource.labels.location.
resource.labels.project_id target.resource.name Dipetakan langsung dari kolom resource.labels.project_id.
resource.type target.resource.resource_subtype Dipetakan langsung dari kolom resource.type.
tingkat keseriusan, security_result.severity Dipetakan dari kolom severity berdasarkan logika berikut:
- Jika severity adalah DEFAULT, DEBUG, INFO, atau NOTICE, maka security_result.severity disetel ke INFORMATIONAL.
- Jika severity adalah WARNING atau ERROR, maka security_result.severity disetel ke MEDIUM.
- Jika severity adalah CRITICAL, ALERT, atau EMERGENCY, maka security_result.severity disetel ke HIGH.
T/A metadata.log_type Hardcode ke GCP_CLOUDIOT.
T/A metadata.vendor_name Hardcode ke Google Cloud Platform.
T/A metadata.event_type Hardcode ke GENERIC_EVENT.
T/A metadata.product_name Hardcode ke GCP_CLOUDIOT.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.