Collecter les journaux Cloud Next Generation Firewall Enterprise

Compatible avec:

Ce document explique comment exporter et ingérer les journaux Cloud NGFW Enterprise dans Google Security Operations à l'aide de Google Cloud. L'analyseur extrait des champs des journaux du pare-feu, les transforme et les met en correspondance avec l'UDM. Google Cloud Il gère divers champs de journal, y compris les informations de connexion, les informations sur les menaces, les informations sur les règles et les informations sur le réseau, en effectuant des conversions de type de données, des renommages et une logique conditionnelle basée sur les champs action et direction pour renseigner correctement le modèle UDM.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous que Cloud NGFW Enterprise est actif et configuré dans votre Google Cloud environnement.
  • Assurez-vous de disposer d'un accès privilégié à Google Cloud et des autorisations appropriées pour accéder aux journaux Cloud NGFW Enterprise.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-ngfw-logs).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux Cloud NGFW

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, NGFW-Export-Sink).
    • Destination du sink: sélectionnez Google Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-ngfw-logs).

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux Cloud NGFW Enterprise

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, GCP NGFW Enterprise Logs).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez GCP NGFW Enterprise comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket de stockage: Google Cloud URL du bucket de stockage (par exemple, gs://gcp-ngfw-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
insertId metadata.product_log_id Mappé directement à partir du champ insertId.
jsonPayload.action security_result.action_details Mappé directement à partir du champ jsonPayload.action.
jsonPayload.connection.clientIp principal.asset.ip Mappé directement à partir du champ jsonPayload.connection.clientIp.
jsonPayload.connection.clientIp principal.ip Mappé directement à partir du champ jsonPayload.connection.clientIp.
jsonPayload.connection.clientPort principal.port Mappé directement à partir du champ jsonPayload.connection.clientPort et converti en entier.
jsonPayload.connection.protocol network.ip_protocol Mappé à partir de jsonPayload.connection.protocol. Si la valeur est tcp, le champ UDM est défini sur TCP. La même logique s'applique à udp, icmp et igmp.
jsonPayload.connection.serverIp target.asset.ip Mappé directement à partir du champ jsonPayload.connection.serverIp.
jsonPayload.connection.serverIp target.ip Mappé directement à partir du champ jsonPayload.connection.serverIp.
jsonPayload.connection.serverPort target.port Mappé directement à partir du champ jsonPayload.connection.serverPort et converti en entier.
jsonPayload.interceptVpc.projectId security_result.rule_labels Mappé à partir de jsonPayload.interceptVpc.projectId avec la clé rule_details_projectId.
jsonPayload.interceptVpc.vpc security_result.rule_labels Mappé à partir de jsonPayload.interceptVpc.vpc avec la clé rule_details_vpc_network.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Mappé à partir de jsonPayload.securityProfileGroupDetails.securityProfileGroupId avec la clé rule_details_security_profile_group.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Mappé à partir de jsonPayload.securityProfileGroupDetails.securityProfileGroupId avec la clé rule_details_securityProfileGroupDetails_id.
jsonPayload.threatDetails.category security_result.rule_labels Mappé à partir de jsonPayload.threatDetails.category avec la clé rule_details_category.
jsonPayload.threatDetails.direction security_result.rule_labels Mappé à partir de jsonPayload.threatDetails.direction avec la clé rule_details_direction.
jsonPayload.threatDetails.id security_result.threat_id Mappé directement à partir du champ jsonPayload.threatDetails.id.
jsonPayload.threatDetails.severity security_result.severity Mappé à partir de jsonPayload.threatDetails.severity. Si la valeur est CRITICAL, le champ UDM est défini sur CRITICAL. Une logique similaire s'applique à HIGH, MEDIUM, LOW et INFO.
jsonPayload.threatDetails.threat security_result.threat_name Mappé directement à partir du champ jsonPayload.threatDetails.threat.
jsonPayload.threatDetails.type security_result.rule_labels Mappé à partir de jsonPayload.threatDetails.type avec la clé rule_details_threat_type.
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels Mappé à partir de jsonPayload.threatDetails.uriOrFilename avec la clé rule_details_uriOrFilename.
logName metadata.product_event_type Mappé directement à partir du champ logName.
metadata.collected_timestamp metadata.collected_timestamp Mappé directement à partir du champ receiveTimestamp et analysé à l'aide du format de date spécifié.
metadata.event_type metadata.event_type Définissez cette valeur sur NETWORK_CONNECTION si principal_ip et target_ip sont tous deux présents. Défini sur STATUS_UNCATEGORIZED si seul principal_ip est présent. Sinon, définissez-le sur GENERIC_EVENT.
metadata.product_name metadata.product_name Codé en dur sur GCP Firewall.
metadata.vendor_name metadata.vendor_name Codé en dur sur Google Cloud Platform.
receiveTimestamp metadata.collected_timestamp Mappé directement à partir du champ receiveTimestamp.
security_result.action security_result.action Dérivé du champ jsonPayload.action. Mappé sur ALLOW, BLOCK ou UNKNOWN_ACTION en fonction de la valeur de jsonPayload.action.
timestamp metadata.event_timestamp Mappé directement à partir du champ timestamp.
timestamp timestamp Mappé directement à partir du champ timestamp.

Modifications

2024-04-16

  • Modification de la mise en correspondance de alert_severity de jsonPayload.alert_severity à jsonPayload.threatDetails.severity.
  • Modification de la mise en correspondance de threat_id de jsonPayload.threat_id à jsonPayload.threatDetails.id.
  • Modification de la mise en correspondance de rdspg de jsonPayload.security_profile_group à jsonPayload.securityProfileGroupDetails.securityProfileGroupId.
  • Modification de la mise en correspondance de rduri de jsonPayload.uri_or_filename à jsonPayload.threatDetails.uriOrFilename.
  • Suppression du mappage de jsonPayload.rule_details.priority, jsonPayload.rule_details.apply_security_profile_fallback_action, jsonPayload.rule_details.source_range et jsonPayload.rule_details.target_secure_tag.

2024-03-26

  • Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.