Raccogliere i log di Cloud Next Generation Firewall

Supportato in:

Questo documento spiega come esportare e importare i log di Cloud NGFW in Google Security Operations utilizzando Google Cloud. Il parser estrae i campi dai log del firewall Google Cloud , li trasforma e li mappa a UDM. Gestisce vari campi di log, tra cui dettagli della connessione, informazioni sulle minacce, dettagli delle regole e informazioni di rete, eseguendo conversioni del tipo di dati, ridenominazione e logica condizionale in base ai campi action e direction per popolare correttamente il modello UDM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Cloud NGFW è attivo e configurato nel tuo ambiente Google Cloud .
  • Accesso con privilegi a Google Cloud e autorizzazioni appropriate per accedere ai log di Cloud NGFW.

Crea un bucket Cloud Storage

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti del nome del bucket, ad esempio gcp-ngfw-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.

      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configura l'esportazione dei log di Cloud NGFW

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Logging > Router dei log.
  3. Fai clic su Crea sink.

  4. Fornisci i seguenti parametri di configurazione:

    • Nome sink: inserisci un nome significativo, ad esempio NGFW-Export-Sink.
    • Destinazione sink: seleziona Google Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-ngfw-logs.

    • Filtro log:

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

  1. Vai a IAM e amministrazione > IAM.
  2. Individua l'account di servizio Cloud Logging.
  3. Concedi il ruolo roles/storage.admin sul bucket.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio GCP NGFW Enterprise Logs.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona GCP NGFW Enterprise come Tipo di log.
  7. Fai clic su Ottieni account di servizio accanto al campo Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione, ad esempio gs://gcp-ngfw-logs.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: Google Cloud URL del bucket di archiviazione, ad esempio gs://gcp-ngfw-logs.
  • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
insertId metadata.product_log_id Mappato direttamente dal campo insertId.
jsonPayload.action security_result.action_details Mappato direttamente dal campo jsonPayload.action.
jsonPayload.connection.clientIp principal.asset.ip Mappato direttamente dal campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientIp principal.ip Mappato direttamente dal campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientPort principal.port Mappato direttamente dal campo jsonPayload.connection.clientPort e convertito in numero intero.
jsonPayload.connection.protocol network.ip_protocol Mappato da jsonPayload.connection.protocol. Se il valore è tcp, il campo UDM è impostato su TCP. Una logica simile si applica a udp, icmp e igmp.
jsonPayload.connection.serverIp target.asset.ip Mappato direttamente dal campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverIp target.ip Mappato direttamente dal campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverPort target.port Mappato direttamente dal campo jsonPayload.connection.serverPort e convertito in numero intero.
jsonPayload.interceptVpc.projectId security_result.rule_labels Mappato da jsonPayload.interceptVpc.projectId con la chiave rule_details_projectId.
jsonPayload.interceptVpc.vpc security_result.rule_labels Mappato da jsonPayload.interceptVpc.vpc con la chiave rule_details_vpc_network.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Mappato da jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la chiave rule_details_security_profile_group.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Mappato da jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la chiave rule_details_securityProfileGroupDetails_id.
jsonPayload.threatDetails.category security_result.rule_labels Mappato da jsonPayload.threatDetails.category con la chiave rule_details_category.
jsonPayload.threatDetails.direction security_result.rule_labels Mappato da jsonPayload.threatDetails.direction con la chiave rule_details_direction.
jsonPayload.threatDetails.id security_result.threat_id Mappato direttamente dal campo jsonPayload.threatDetails.id.
jsonPayload.threatDetails.severity security_result.severity Mappato da jsonPayload.threatDetails.severity. Se il valore è CRITICAL, il campo UDM è impostato su CRITICAL. Una logica simile si applica a HIGH, MEDIUM, LOW e INFO.
jsonPayload.threatDetails.threat security_result.threat_name Mappato direttamente dal campo jsonPayload.threatDetails.threat.
jsonPayload.threatDetails.type security_result.rule_labels Mappato da jsonPayload.threatDetails.type con la chiave rule_details_threat_type.
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels Mappato da jsonPayload.threatDetails.uriOrFilename con la chiave rule_details_uriOrFilename.
logName metadata.product_event_type Mappato direttamente dal campo logName.
metadata.collected_timestamp metadata.collected_timestamp Mappato direttamente dal campo receiveTimestamp e analizzato utilizzando il formato della data specificato.
metadata.event_type metadata.event_type Imposta su NETWORK_CONNECTION se sono presenti sia principal_ip che target_ip. Imposta su STATUS_UNCATEGORIZED se è presente solo principal_ip. In caso contrario, imposta il valore su GENERIC_EVENT.
metadata.product_name metadata.product_name Codificato in modo permanente su GCP Firewall.
metadata.vendor_name metadata.vendor_name Codificato in modo permanente su Google Cloud Platform.
receiveTimestamp metadata.collected_timestamp Mappato direttamente dal campo receiveTimestamp.
security_result.action security_result.action Derivato dal campo jsonPayload.action. Mappato a ALLOW, BLOCK o UNKNOWN_ACTION in base al valore di jsonPayload.action.
timestamp metadata.event_timestamp Mappato direttamente dal campo timestamp.
timestamp timestamp Mappato direttamente dal campo timestamp.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.