收集 Cloud Next Generation Firewall 記錄

支援的國家/地區:

本文說明如何使用 Google Cloud,將 Cloud NGFW 記錄匯出及擷取至 Google Security Operations。剖析器會從 Google Cloud 防火牆記錄中擷取欄位,並轉換及對應至 UDM。這個函式會處理各種記錄欄位,包括連線詳細資料、威脅資訊、規則詳細資料和網路資訊,並根據 actiondirection 欄位執行資料類型轉換、重新命名和條件式邏輯,以正確填入 UDM 模型。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • Cloud NGFW 已在 Google Cloud 環境中啟用及設定。
  • 具備 Google Cloud 特殊存取權,以及存取 Cloud NGFW 記錄的適當權限。

建立 Cloud Storage 值區

  1. 登入Google Cloud 控制台

  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分執行下列操作:

      1. 輸入符合值區名稱規定的專屬名稱,例如 gcp-ngfw-logs

      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」

      3. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。

      4. 按一下「新增標籤」,然後指定標籤的鍵和值。

    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:

      1. 選取「位置類型」

      2. 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。

      3. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。

    3. 在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型

    5. 在「選擇保護物件資料的方式」部分,執行下列操作:

      1. 選取「資料保護」下要為值區設定的任何選項。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」

  5. 點選「建立」

設定 Cloud NGFW 記錄匯出

  1. 登入Google Cloud 控制台
  2. 依序前往「Logging」>「Log Router」
  3. 按一下「建立接收器」

  4. 提供下列設定參數:

    • 接收器名稱:輸入有意義的名稱,例如 NGFW-Export-Sink
    • 接收器目的地:選取「Google Cloud Storage」,然後輸入值區的 URI,例如 gs://gcp-ngfw-logs

    • 記錄檔篩選器

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. 點選「建立」

設定 Cloud Storage 的權限

  1. 前往「IAM 與管理」>「IAM」
  2. 找到 Cloud Logging 服務帳戶。
  3. 授予值區的 roles/storage.admin

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「GCP NGFW Enterprise Logs」
  5. 選取「Google Cloud Storage」做為「來源類型」。
  6. 選取「GCP NGFW Enterprise」做為「記錄類型」
  7. 按一下「Chronicle Service Account」(Chronicle 服務帳戶) 欄位旁的「Get Service Account」(取得服務帳戶)
  8. 點選「下一步」

  9. 指定下列輸入參數的值:

    • 儲存空間值區 URI:儲存空間值區網址,例如 gs://gcp-ngfw-logs。 Google Cloud
    • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)

    • 來源刪除選項:根據偏好選取刪除選項。

  10. 點選「下一步」

  11. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 儲存空間值區 URI:儲存空間值區網址,例如 gs://gcp-ngfw-logs。 Google Cloud
  • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)
  • 來源刪除選項:根據偏好選取刪除選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
insertId metadata.product_log_id 直接從「insertId」欄位對應。
jsonPayload.action security_result.action_details 直接從「jsonPayload.action」欄位對應。
jsonPayload.connection.clientIp principal.asset.ip 直接從「jsonPayload.connection.clientIp」欄位對應。
jsonPayload.connection.clientIp principal.ip 直接從「jsonPayload.connection.clientIp」欄位對應。
jsonPayload.connection.clientPort principal.port 直接從 jsonPayload.connection.clientPort 欄位對應,並轉換為整數。
jsonPayload.connection.protocol network.ip_protocol 對應自 jsonPayload.connection.protocol。如果值為 tcp,UDM 欄位會設為 TCPudpicmpigmp 也適用類似邏輯。
jsonPayload.connection.serverIp target.asset.ip 直接從「jsonPayload.connection.serverIp」欄位對應。
jsonPayload.connection.serverIp target.ip 直接從「jsonPayload.connection.serverIp」欄位對應。
jsonPayload.connection.serverPort target.port 直接從 jsonPayload.connection.serverPort 欄位對應,並轉換為整數。
jsonPayload.interceptVpc.projectId security_result.rule_labels jsonPayload.interceptVpc.projectId 對應,金鑰為 rule_details_projectId
jsonPayload.interceptVpc.vpc security_result.rule_labels jsonPayload.interceptVpc.vpc 對應,金鑰為 rule_details_vpc_network
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels jsonPayload.securityProfileGroupDetails.securityProfileGroupId 對應,金鑰為 rule_details_security_profile_group
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels jsonPayload.securityProfileGroupDetails.securityProfileGroupId 對應,金鑰為 rule_details_securityProfileGroupDetails_id
jsonPayload.threatDetails.category security_result.rule_labels jsonPayload.threatDetails.category 對應,金鑰為 rule_details_category
jsonPayload.threatDetails.direction security_result.rule_labels jsonPayload.threatDetails.direction 對應,金鑰為 rule_details_direction
jsonPayload.threatDetails.id security_result.threat_id 直接從「jsonPayload.threatDetails.id」欄位對應。
jsonPayload.threatDetails.severity security_result.severity 對應自 jsonPayload.threatDetails.severity。 如果值為 CRITICAL,UDM 欄位會設為 CRITICALHIGHMEDIUMLOWINFO 也適用類似的邏輯。
jsonPayload.threatDetails.threat security_result.threat_name 直接從「jsonPayload.threatDetails.threat」欄位對應。
jsonPayload.threatDetails.type security_result.rule_labels jsonPayload.threatDetails.type 對應,金鑰為 rule_details_threat_type
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels jsonPayload.threatDetails.uriOrFilename 對應,金鑰為 rule_details_uriOrFilename
logName metadata.product_event_type 直接從「logName」欄位對應。
metadata.collected_timestamp metadata.collected_timestamp 直接從 receiveTimestamp 欄位對應,並使用指定的日期格式剖析。
metadata.event_type metadata.event_type 如果同時存在 principal_iptarget_ip,則設為 NETWORK_CONNECTION。如果只有 principal_ip,請設為 STATUS_UNCATEGORIZED。否則請設為 GENERIC_EVENT
metadata.product_name metadata.product_name 硬式編碼為 GCP Firewall
metadata.vendor_name metadata.vendor_name 硬式編碼為 Google Cloud Platform
receiveTimestamp metadata.collected_timestamp 直接從「receiveTimestamp」欄位對應。
security_result.action security_result.action 衍生自「jsonPayload.action」欄位。根據 jsonPayload.action 的值,對應至 ALLOWBLOCKUNKNOWN_ACTION
timestamp metadata.event_timestamp 直接從「timestamp」欄位對應。
timestamp timestamp 直接從「timestamp」欄位對應。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。