Coletar registros de Google Cloud IoT

Compatível com:

Este guia explica como exportar registros de Google Cloud IoT para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros formatados em JSON e os mapeia para os campos correspondentes no esquema UDM do Google SecOps, transformando os dados de registro brutos em um formato estruturado adequado para análise de segurança.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • A IoT está configurada e ativa no seu ambiente Google Cloud .
  • Acesso privilegiado ao Google Cloud.

Crie um bucket do Google Cloud Storage

  1. Faça login no console doGoogle Cloud .
  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, cloudiot-logs.
      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.
      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um Método de criptografia de dados.
  5. Clique em Criar.

Configurar a exportação de registros no Google Cloud IoT

  1. Faça login na conta do Google Cloud usando sua conta privilegiada.
  2. Pesquise e selecione Logging na barra de pesquisa.
  3. No Explorador de registros, filtre os registros escolhendo Cloud IoT Core e clique em Aplicar.
  4. Clique em Mais ações.
  5. Clique em Criar coletor.
  6. Forneça as seguintes configurações:
    1. Detalhes do coletor: insira um nome e uma descrição.
    2. Clique em Próxima.
    3. Destino do coletor: selecione Bucket do Cloud Storage.
    4. Bucket do Cloud Storage: selecione o bucket criado anteriormente ou crie um novo.
    5. Clique em Próxima.
    6. Escolher os registros para incluir no coletor: um registro padrão é preenchido quando você seleciona uma opção no bucket do Cloud Storage.
    7. Clique em Próxima.
    8. Opcional: Escolher registros para filtrar do coletor: selecione os registros que você não quer que sejam coletados.
  7. Clique em Criar coletor.

  8. No Console do GCP, acesse Logging > Roteador de registros.

  9. Clique em Criar coletor.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Cloud IoT do GCP.
  5. Selecione Google Cloud Storage como o Tipo de origem.
  6. Selecione GCP Cloud IoT como o Tipo de registro.
  7. Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
  8. Clique em Próxima.
  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket de armazenamento: Google Cloud URL do bucket de armazenamento no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

  10. Clique em Próxima.

  11. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: Google Cloud URL do bucket de armazenamento no formato gs://my-bucket/<value>.
  • URI Is A: selecione Directory which includes subdirectories.
  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
insertId metadata.product_log_id Mapeado diretamente do campo insertId.
jsonPayload.eventType metadata.product_event_type Mapeado diretamente do campo jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Mapeado diretamente do campo jsonPayload.protocol.
jsonPayload.serviceName target.application Mapeado diretamente do campo jsonPayload.serviceName.
jsonPayload.status.description metadata.description Mapeado diretamente do campo jsonPayload.status.description.
jsonPayload.status.message security_result.description Mapeado diretamente do campo jsonPayload.status.message.
labels.device_id principal.asset_id O valor é definido como Device ID: concatenado com o valor do campo labels.device_id.
receiveTimestamp metadata.event_timestamp Analisado do campo receiveTimestamp e usado para preencher events.timestamp e metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Mapeado diretamente do campo resource.labels.device_num_id.
resource.labels.location target.location.name Mapeado diretamente do campo resource.labels.location.
resource.labels.project_id target.resource.name Mapeado diretamente do campo resource.labels.project_id.
resource.type target.resource.resource_subtype Mapeado diretamente do campo resource.type.
gravidade, security_result.severity Mapeado do campo severity com base na seguinte lógica:
- Se severity for DEFAULT, DEBUG, INFO ou NOTICE, security_result.severity será definido como INFORMATIONAL.
: se severity for WARNING ou ERROR, security_result.severity será definido como MEDIUM.
: se severity for CRITICAL, ALERT ou EMERGENCY, security_result.severity será definido como HIGH.
N/A metadata.log_type Fixado no código como GCP_CLOUDIOT.
N/A metadata.vendor_name Fixado no código como Google Cloud Platform.
N/A metadata.event_type Fixado no código como GENERIC_EVENT.
N/A metadata.product_name Fixado no código como GCP_CLOUDIOT.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.