Raccogliere i log di Google Cloud IoT

Supportato in:

Questa guida spiega come esportare Google Cloud i log IoT in Google Security Operations utilizzando Cloud Storage. Il parser estrae i campi dai log in formato JSON e li mappa ai campi corrispondenti nello schema UDM di Google SecOps, trasformando infine i dati di log non elaborati in un formato strutturato adatto all'analisi della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • L'IoT è configurato e attivo nel tuo ambiente Google Cloud .
  • Accesso privilegiato a Google Cloud.

Crea un bucket Google Cloud Storage

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio cloudiot-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.

      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configura l'esportazione dei log in Google Cloud IoT

  1. Accedi all'account Google Cloud utilizzando il tuo account con privilegi.
  2. Cerca e seleziona Logging nella barra di ricerca.
  3. In Esplora log, filtra i log scegliendo Cloud IoT Core e fai clic su Applica.
  4. Fai clic su Altre azioni.
  5. Fai clic su Crea sink.
  6. Fornisci le seguenti configurazioni:
    1. Dettagli del sink: inserisci un nome e una descrizione.
    2. Fai clic su Avanti.
    3. Destinazione sink: seleziona Bucket Cloud Storage.
    4. Bucket Cloud Storage: seleziona il bucket creato in precedenza o creane uno nuovo.
    5. Fai clic su Avanti.
    6. Scegli i log da includere nel sink: un log predefinito viene compilato quando selezioni un'opzione in Bucket Cloud Storage.
    7. Fai clic su Avanti.
    8. (Facoltativo) Scegli i log da escludere dal sink: seleziona i log che non vuoi sincronizzare.

  7. Fai clic su Crea sink.

  8. Nella console GCP, vai a Logging > Router dei log.

  9. Fai clic su Crea sink.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di GCP Cloud IoT.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona GCP Cloud IoT come Tipo di log.
  7. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione nel formato gs://my-bucket/<value>.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione nel formato gs://my-bucket/<value>.
  • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
insertId metadata.product_log_id Mappato direttamente dal campo insertId.
jsonPayload.eventType metadata.product_event_type Mappato direttamente dal campo jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Mappato direttamente dal campo jsonPayload.protocol.
jsonPayload.serviceName target.application Mappato direttamente dal campo jsonPayload.serviceName.
jsonPayload.status.description metadata.description Mappato direttamente dal campo jsonPayload.status.description.
jsonPayload.status.message security_result.description Mappato direttamente dal campo jsonPayload.status.message.
labels.device_id principal.asset_id Il valore è impostato su Device ID: concatenato al valore del campo labels.device_id.
receiveTimestamp metadata.event_timestamp Analizzato dal campo receiveTimestamp e utilizzato per compilare sia events.timestamp che metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Mappato direttamente dal campo resource.labels.device_num_id.
resource.labels.location target.location.name Mappato direttamente dal campo resource.labels.location.
resource.labels.project_id target.resource.name Mappato direttamente dal campo resource.labels.project_id.
resource.type target.resource.resource_subtype Mappato direttamente dal campo resource.type.
gravità security_result.severity Mappato dal campo severity in base alla seguente logica:
- Se severity è DEFAULT, DEBUG, INFO o NOTICE, security_result.severity è impostato su INFORMATIONAL.
- Se severity è WARNING o ERROR, security_result.severity è impostato su MEDIUM.
- Se severity è CRITICAL, ALERT o EMERGENCY, security_result.severity è impostato su HIGH.
N/D metadata.log_type Codificato in modo permanente su GCP_CLOUDIOT.
N/D metadata.vendor_name Codificato in modo permanente su Google Cloud Platform.
N/D metadata.event_type Codificato in modo permanente su GENERIC_EVENT.
N/D metadata.product_name Codificato in modo permanente su GCP_CLOUDIOT.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.