Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'erreurs de Cloud Security Command Center

Compatible avec:

Google SecOps SIEM

Ce document explique comment exporter et ingérer les journaux d'erreurs de Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les journaux au format JSON brut en modèle de données unifié (UDM). Il extrait les champs pertinents du journal brut, effectue le nettoyage et la normalisation des données, et structure la sortie conformément au schéma UDM pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous que Google Cloud Security Command Center est activé et configuré dans votre Google Cloud environnement.
Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'avoir un accès privilégié à Security Command Center et à Cloud Logging.

Créer un bucket Cloud Storage

Connectez-vous à la console Google Cloud.
Accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:
1. Dans la section Premiers pas, procédez comme suit :
  1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets. Par exemple, gcp-scc-error-logs.
  2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
    
    Remarque :Vous ne pouvez pas activer l'espace de noms hiérarchique sur un bucket existant.
  3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
  4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
  1. Sélectionnez un type d'emplacement.
  2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
    
    Remarque :Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
  3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
  
  Remarque :Si la protection contre l'accès public est déjà appliquée par la règle d'administration de votre projet, la case à cocher Empêcher l'accès public est verrouillée.
5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:
  1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
  2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.

Configurer la journalisation de Security Command Center

Connectez-vous à la console Google Cloud.
Accédez à la page Security Command Center.

Accéder à Security Command Center
Sélectionnez votre organisation.
Cliquez sur Paramètres.
Cliquez sur l'onglet Exportations continues.
Sous Nom de l'exportation, cliquez sur Exportation des journaux.
Sous Récepteurs, activez l'option Consigner les résultats dans Logging.
Sous Projet de journalisation, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.
Cliquez sur Enregistrer.

Configurer Google Cloud l'exportation des journaux d'erreurs de Security Command Center

Connectez-vous à la console Google Cloud.
Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants:
- Nom du récepteur: saisissez un nom explicite (par exemple, scc-error-logs-sink).
- Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-error-logs).
- Filtre de journal:
```
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"
```
- Définir les options d'exportation: inclut toutes les entrées de journal.
Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

Accédez à IAM et administration > IAM.
Recherchez le compte de service Cloud Logging.
Attribuez le rôle roles/storage.admin au bucket.

Configurez un flux dans Google SecOps pour ingérer les Google Cloud journaux d'erreurs de Security Command Center

Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux. Par exemple, Google Cloud Journaux d'erreurs du Security Command Center.
Sélectionnez Google Cloud Storage comme Type de source.
Sélectionnez Erreur Security Command Center comme Type de journal.
Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants:
- URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-scc-error-logs).
- L'URI est: sélectionnez Répertoire incluant des sous-répertoires.
- Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.
  
  Remarque :Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé appliqué aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
access.principalEmail	about.user.email_addresses	Valeur extraite du champ `access.principalEmail`.
category	metadata.product_event_type	Valeur extraite du champ `category` ou `findings.category`, en fonction du format du journal.
contacts.security.contacts.email	security_result.about.user.email_addresses	Valeur extraite du champ `contacts.security.contacts.email`. Le rôle est défini sur `Security`.
contacts.technical.contacts.email	security_result.about.user.email_addresses	Valeur extraite du champ `contacts.technical.contacts.email`. Le rôle est défini sur `Technical`.
Date et heure de création	security_result.detection_fields.value	Valeur extraite du champ `createTime` ou `findings.createTime`, en fonction du format du journal. La clé est définie sur `createTime`.
description	security_result.description	Valeur extraite du champ `description` ou `findings.description`, en fonction du format du journal.
eventTime	metadata.event_timestamp	Valeur extraite du champ `eventTime` ou `findings.eventTime` en fonction du format de journal et convertie en code temporel.
externalUri	about.url	Valeur extraite du champ `externalUri` ou `findings.externalUri`, en fonction du format du journal.
findingClass	security_result.category_details	Valeur extraite du champ `findingClass` ou `findings.findingClass`, en fonction du format du journal.
findingProviderId	target.resource.attribute.labels.value	Valeur extraite du champ `findingProviderId` ou `findings.findingProviderId`, en fonction du format du journal. La clé est définie sur `finding_provider_id`.
mute	security_result.detection_fields.value	Valeur extraite du champ `mute` ou `findings.mute`, en fonction du format du journal. La clé est définie sur `mute`.
nextSteps	security_result.outcomes.value	Valeur extraite du champ `nextSteps` ou `findings.nextSteps`, en fonction du format du journal. La clé est définie sur `nextSteps`.
resourceName	target.resource.name	Valeur extraite du champ `resourceName`, `findings.resourceName`, `resource_name` ou `findings.resource_name`, en fonction du format de journal.
securityMarks.name	security_result.detection_fields.value	Valeur extraite du champ `securityMarks.name` ou `findings.securityMarks.name`, en fonction du format du journal. La clé est définie sur `securityMarks_name`.
de gravité,	security_result.severity	Valeur extraite du champ `severity` ou `findings.severity` en fonction du format de journalisation et mappée sur le niveau de gravité UDM correspondant.
sourceDisplayName	target.resource.attribute.labels.value	Valeur extraite du champ `sourceDisplayName` ou `findings.sourceDisplayName`, en fonction du format du journal. La clé est définie sur `source_display_name`.
sourceProperties.ReactivationCount	target.resource.attribute.labels.value	Valeur extraite du champ `sourceProperties.ReactivationCount` ou `findings.sourceProperties.ReactivationCount`, en fonction du format du journal. La clé est définie sur `sourceProperties_ReactivationCount`.
state	security_result.detection_fields.value	Valeur extraite du champ `state` ou `findings.state`, en fonction du format du journal. La clé est définie sur `state`.
	is_alert	Définissez cette valeur sur `true` si la logique d'analyse détermine que l'événement représente une alerte active.
	is_significant	Définissez sur `true` si la logique de l'analyseur détermine que l'événement est important.
	metadata.event_type	Définissez la valeur par défaut sur `GENERIC_EVENT`.
	metadata.log_type	Valeur codée en dur `GCP_SECURITYCENTER_ERROR`.
	metadata.description	Valeur codée en dur `Security Command Center`.
	metadata.product_name	Valeur codée en dur `Security Command Center`.
	metadata.vendor_name	Valeur codée en dur `Google`.
	target.resource.attribute.labels.key	Valeur codée en dur `finding_id`.
	target.resource.attribute.labels.value	Extrait du champ `name` ou `findings.name`, capturant la dernière partie après le dernier caractère `/`.
	target.resource.product_object_id	Extrait du champ `parent` ou `findings.parent`, capturant la valeur après le dernier caractère `/`.
	target.resource.ancestors.name	Valeur extraite du champ `parent` ou `findings.parent`, en fonction du format du journal.
	target.resource_ancestors.name	Extrait du champ `resourceName` ou `findings.resourceName`, capturant la valeur après le préfixe `//cloudresourcemanager.googleapis.com/projects/`.
	target.resource_ancestors.resource_type	Valeur codée en dur `CLOUD_PROJECT`.
	target.resource.attribute.labels.key	Valeur codée en dur `source_id`.
	target.resource.attribute.labels.value	Extrait du champ `parent` ou `findings.parent`, capture la valeur après le deuxième caractère `/`.
	security_result.alert_state	Mappage basé sur le champ `state` ou `findings.state`. Si l'état est `ACTIVE`, la valeur alert_state est définie sur `ALERTING`, sinon sur `NOT_ALERTING`.
	about.user.email_addresses	Valeur extraite du champ `iamBindings.member`.
	about.user.attribute.roles.name	Valeur codée en dur `Security`.

Modifications

2023-11-29

Correction d'une incohérence entre la gestion de principal/target.hostname et principal/target.asset.hostname.

2023-05-02

Nous nous sommes assurés que le champ security_result.url_back_to_product contient désormais une adresse Web correctement formatée.

2023-04-12

L'analyseur GCP_SECURITYCENTER_ERROR est défini comme choix par défaut. Cet analyseur gère les Google Cloud résultats de Security Command Center. Pour en savoir plus, consultez Collecter les résultats de Security Command Center - Référence de mappage des champs.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.