收集 Google Cloud IoT 記錄
本指南說明如何使用 Cloud Storage 將 IoT 記錄匯出至 Google Security Operations。 Google Cloud 剖析器會從 JSON 格式的記錄中擷取欄位,然後將這些欄位對應至 Google SecOps UDM 結構定義中的對應欄位,最終將原始記錄資料轉換為適合進行安全性分析的結構化格式。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- IoT 已在 Google Cloud 環境中設定並啟用。
- Google Cloud的特殊存取權。
建立 Google Cloud Storage bucket
- 登入Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分執行下列操作:
- 輸入符合值區名稱規定的專屬名稱,例如 cloudiot-logs。
如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:
- 選取「位置類型」。
使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,執行下列操作:
- 選取「資料保護」下要為值區設定的任何選項。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
在 Google Cloud IoT 中設定記錄匯出功能
- 使用具備權限的帳戶登入 Google Cloud 帳戶。
- 在搜尋列中搜尋並選取「Logging」。
- 在「記錄檔探索工具」中,選擇「Cloud IoT Core」篩選記錄,然後按一下「套用」。
- 按一下「更多動作」。
- 按一下「建立接收器」。
- 提供下列設定:
- 「接收器詳細資料」:輸入名稱和說明。
- 點選「下一步」。
- 「Sink Destination」(接收器目標位置):選取「Cloud Storage Bucket」(Cloud Storage 值區)。
- Cloud Storage Bucket:選取先前建立的 bucket,或建立新的 bucket。
- 點選「下一步」。
- 選擇要納入接收器的記錄檔:在 Cloud Storage 值區中選取選項時,系統會填入預設記錄檔。
- 點選「下一步」。
- 選用:選擇要從接收器排除的記錄檔:選取不想接收的記錄檔。
按一下「建立接收器」。
在 GCP 主控台中,前往「Logging」>「Log Router」。
按一下「建立接收器」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「Feed name」欄位中,輸入動態消息的名稱,例如「GCP Cloud IoT Logs」。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「GCP Cloud IoT」做為「記錄類型」。
- 按一下「Chronicle 服務帳戶」的「取得服務帳戶」。
- 點選「下一步」。
指定下列輸入參數的值:
- 儲存空間值區 URI: Google Cloud
gs://my-bucket/<value>格式的儲存空間值區 URL。 - 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項:根據偏好設定選取刪除選項。
- 儲存空間值區 URI: Google Cloud
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 儲存空間值區 URI: Google Cloud
gs://my-bucket/<value>格式的儲存空間值區 URL。 - 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)。
- 來源刪除選項:根據偏好設定選取刪除選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| insertId | metadata.product_log_id | 直接對應 insertId 欄位。 |
| jsonPayload.eventType | metadata.product_event_type | 直接對應 jsonPayload.eventType 欄位。 |
| jsonPayload.protocol | network.application_protocol | 直接對應 jsonPayload.protocol 欄位。 |
| jsonPayload.serviceName | target.application | 直接對應 jsonPayload.serviceName 欄位。 |
| jsonPayload.status.description | metadata.description | 直接對應 jsonPayload.status.description 欄位。 |
| jsonPayload.status.message | security_result.description | 直接對應 jsonPayload.status.message 欄位。 |
| labels.device_id | principal.asset_id | 值會設為 Device ID:,並與 labels.device_id 欄位的值串連。 |
| receiveTimestamp | metadata.event_timestamp | 從 receiveTimestamp 欄位剖析,並用於填入 events.timestamp 和 metadata.event_timestamp。 |
| resource.labels.device_num_id | target.resource.product_object_id | 直接對應 resource.labels.device_num_id 欄位。 |
| resource.labels.location | target.location.name | 直接對應 resource.labels.location 欄位。 |
| resource.labels.project_id | target.resource.name | 直接對應 resource.labels.project_id 欄位。 |
| resource.type | target.resource.resource_subtype | 直接對應 resource.type 欄位。 |
| 嚴重性 | security_result.severity | 根據下列邏輯從 severity 欄位對應:- 如果 severity 是 DEFAULT、DEBUG、INFO 或 NOTICE,則 security_result.severity 會設為 INFORMATIONAL。- 如果 severity 為 WARNING 或 ERROR,則 security_result.severity 會設為 MEDIUM。- 如果 severity 是 CRITICAL、ALERT 或 EMERGENCY,則 security_result.severity 會設為 HIGH。 |
| 不適用 | metadata.log_type | 硬式編碼為 GCP_CLOUDIOT。 |
| 不適用 | metadata.vendor_name | 硬式編碼為 Google Cloud Platform。 |
| 不適用 | metadata.event_type | 硬式編碼為 GENERIC_EVENT。 |
| 不適用 | metadata.product_name | 硬式編碼為 GCP_CLOUDIOT。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。