Security Command Center-Fehlerlogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Security Command Center-Fehlerlogs mithilfe von Cloud Storage exportieren und in Google Security Operations aufnehmen. Der Parser wandelt Rohlogs im JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um. Es werden relevante Felder aus dem Rohlog extrahiert, Daten bereinigt und normalisiert und die Ausgabe gemäß dem UDM-Schema für eine konsistente Sicherheitsanalyse strukturiert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Security Command Center ist in Ihrer Google Cloud Umgebung aktiviert und konfiguriert.
  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Security Command Center und Cloud Logging.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-scc-error-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

  5. Klicken Sie auf Erstellen.

Security Command Center-Logging konfigurieren

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Security Command Center auf.

    Zum Security Command Center

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie auf Einstellungen.

  5. Klicken Sie auf den Tab Kontinuierliche Exporte.

  6. Klicken Sie unter Exportname auf Logging-Export.

  7. Aktivieren Sie unter Senken die Option Ergebnisse in Logging in Logs speichern.

  8. Geben Sie unter Logging-Projekt das Projekt ein, in dem Sie die Ergebnisse protokollieren möchten, oder suchen Sie nach dem Projekt.

  9. Klicken Sie auf Speichern.

Export von Security Command Center-Fehlerlogs konfigurieren

  1. Melden Sie sich in der Google Cloud -Konsole an.
  2. Rufen Sie Logging > Log Router auf.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. scc-error-logs-sink.
    • Sink Destination (Ziel für Senke): Wählen Sie Cloud Storage Storage (Cloud Storage) aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-scc-error-logs.

    • Log Filter (Log-Filter):

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"

    • Exportoptionen festlegen: Alle Log-Einträge einschließen.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Security Command Center Error Logs (Security Command Center-Fehlerlogs).
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie Security Command Center-Fehler als Logtyp aus.
  7. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-scc-error-logs.
    • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-scc-error-logs.
  • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.
  • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
access.principalEmail about.user.email_addresses Wert aus dem Feld access.principalEmail.
Kategorie metadata.product_event_type Der Wert wird je nach Logformat aus dem Feld category oder findings.category übernommen.
contacts.security.contacts.email security_result.about.user.email_addresses Wert aus dem Feld contacts.security.contacts.email. Die Rolle ist auf Security festgelegt.
contacts.technical.contacts.email security_result.about.user.email_addresses Wert aus dem Feld contacts.technical.contacts.email. Die Rolle ist auf Technical festgelegt.
createTime security_result.detection_fields.value Der Wert wird je nach Logformat aus dem Feld createTime oder findings.createTime übernommen. Der Schlüssel ist auf createTime festgelegt.
description security_result.description Der Wert wird je nach Logformat aus dem Feld description oder findings.description übernommen.
eventTime metadata.event_timestamp Der Wert wird je nach Logformat aus dem Feld eventTime oder findings.eventTime übernommen und in einen Zeitstempel konvertiert.
externalUri about.url Der Wert wird je nach Logformat aus dem Feld externalUri oder findings.externalUri übernommen.
findingClass security_result.category_details Der Wert wird je nach Logformat aus dem Feld findingClass oder findings.findingClass übernommen.
findingProviderId target.resource.attribute.labels.value Der Wert wird je nach Logformat aus dem Feld findingProviderId oder findings.findingProviderId übernommen. Der Schlüssel ist auf finding_provider_id festgelegt.
mute security_result.detection_fields.value Der Wert wird je nach Logformat aus dem Feld mute oder findings.mute übernommen. Der Schlüssel ist auf mute festgelegt.
nextSteps security_result.outcomes.value Der Wert wird je nach Logformat aus dem Feld nextSteps oder findings.nextSteps übernommen. Der Schlüssel ist auf nextSteps festgelegt.
resourceName target.resource.name Der Wert wird je nach Logformat aus dem Feld resourceName, findings.resourceName, resource_name oder findings.resource_name übernommen.
securityMarks.name security_result.detection_fields.value Der Wert wird je nach Logformat aus dem Feld securityMarks.name oder findings.securityMarks.name übernommen. Der Schlüssel ist auf securityMarks_name festgelegt.
die Ausprägung security_result.severity Der Wert wird je nach Logformat aus dem Feld severity oder findings.severity übernommen und der entsprechenden UDM-Schweregradstufe zugeordnet.
sourceDisplayName target.resource.attribute.labels.value Der Wert wird je nach Logformat aus dem Feld sourceDisplayName oder findings.sourceDisplayName übernommen. Der Schlüssel ist auf source_display_name festgelegt.
sourceProperties.ReactivationCount target.resource.attribute.labels.value Der Wert wird je nach Logformat aus dem Feld sourceProperties.ReactivationCount oder findings.sourceProperties.ReactivationCount übernommen. Der Schlüssel ist auf sourceProperties_ReactivationCount festgelegt.
state security_result.detection_fields.value Der Wert wird je nach Logformat aus dem Feld state oder findings.state übernommen. Der Schlüssel ist auf state festgelegt.
metadata.event_type Auf GENERIC_EVENT als Standardwert festlegen.
metadata.log_type Hartcodierter Wert GCP_SECURITYCENTER_ERROR.
metadata.description Hartcodierter Wert Security Command Center.
metadata.product_name Hartcodierter Wert Security Command Center.
metadata.vendor_name Hartcodierter Wert Google.
target.resource.attribute.labels.key Hartcodierter Wert finding_id.
target.resource.attribute.labels.value Wird aus dem Feld name oder findings.name extrahiert und erfasst den letzten Teil nach dem letzten /-Zeichen.
target.resource.product_object_id Wird aus dem Feld parent oder findings.parent extrahiert und erfasst den Wert nach dem letzten Zeichen /.
target.resource.ancestors.name Der Wert wird je nach Logformat aus dem Feld parent oder findings.parent übernommen.
target.resource_ancestors.name Wird aus dem Feld resourceName oder findings.resourceName extrahiert und erfasst den Wert nach dem Präfix //cloudresourcemanager.googleapis.com/projects/.
target.resource_ancestors.resource_type Hartcodierter Wert CLOUD_PROJECT.
target.resource.attribute.labels.key Hartcodierter Wert source_id.
target.resource.attribute.labels.value Wird aus dem Feld parent oder findings.parent extrahiert und erfasst den Wert nach dem zweiten Zeichen /.
security_result.alert_state Zuordnung basierend auf dem Feld state oder findings.state. Wenn der Status ACTIVE lautet, wird „alert_state“ auf ALERTING gesetzt, andernfalls auf NOT_ALERTING.
about.user.email_addresses Wert aus dem Feld iamBindings.member.
about.user.attribute.roles.name Hartcodierter Wert Security.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten