Collecter les journaux d'erreurs Security Command Center

Compatible avec :

Ce document explique comment exporter et ingérer les journaux d'erreurs Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les journaux bruts au format JSON en un modèle de données unifié (UDM). Il extrait les champs pertinents du journal brut, nettoie et normalise les données, puis structure la sortie selon le schéma UDM pour une analyse de sécurité cohérente.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Security Command Center est activé et configuré dans votre environnement Google Cloud .
  • Instance Google SecOps.
  • Accès privilégié à Security Command Center et Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-scc-error-logs).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer la journalisation Security Command Center

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Security Command Center.

    Accéder à Security Command Center

  3. Sélectionnez votre organisation.

  4. Cliquez sur Paramètres.

  5. Cliquez sur l'onglet Exportations continues.

  6. Sous Nom de l'exportation, cliquez sur Exportation Logging.

  7. Sous Récepteurs, activez l'option Consigner les résultats dans Logging.

  8. Sous Projet Logging, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

  9. Cliquez sur Enregistrer.

Configurer l'exportation des journaux d'erreurs Security Command Center

  1. Connectez-vous à la consoleGoogle Cloud .
  2. Accédez à Logging> Routeur de journaux.
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants :

    • Nom du récepteur : saisissez un nom explicite (par exemple, scc-error-logs-sink).
    • Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-error-logs).

    • Filtre de journaux :

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"

    • Définissez les options d'exportation : incluez toutes les entrées de journaux.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration> IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin sur le bucket.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux d'erreurs Security Command Center).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez Erreur Security Command Center comme Type de journal.
  7. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-scc-error-logs).
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-scc-error-logs).
  • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
access.principalEmail about.user.email_addresses Valeur extraite du champ access.principalEmail.
category metadata.product_event_type Valeur extraite du champ category ou findings.category selon le format du journal.
contacts.security.contacts.email security_result.about.user.email_addresses Valeur extraite du champ contacts.security.contacts.email. Le rôle est défini sur Security.
contacts.technical.contacts.email security_result.about.user.email_addresses Valeur extraite du champ contacts.technical.contacts.email. Le rôle est défini sur Technical.
Date et heure de création security_result.detection_fields.value Valeur extraite du champ createTime ou findings.createTime selon le format du journal. La clé est définie sur createTime.
description security_result.description Valeur extraite du champ description ou findings.description selon le format du journal.
eventTime metadata.event_timestamp Valeur extraite du champ eventTime ou findings.eventTime selon le format du journal et convertie en code temporel.
externalUri about.url Valeur extraite du champ externalUri ou findings.externalUri selon le format du journal.
findingClass security_result.category_details Valeur extraite du champ findingClass ou findings.findingClass selon le format du journal.
findingProviderId target.resource.attribute.labels.value Valeur extraite du champ findingProviderId ou findings.findingProviderId selon le format du journal. La clé est définie sur finding_provider_id.
mute security_result.detection_fields.value Valeur extraite du champ mute ou findings.mute selon le format du journal. La clé est définie sur mute.
nextSteps security_result.outcomes.value Valeur extraite du champ nextSteps ou findings.nextSteps selon le format du journal. La clé est définie sur nextSteps.
resourceName target.resource.name Valeur extraite du champ resourceName, findings.resourceName, resource_name ou findings.resource_name selon le format du journal.
securityMarks.name security_result.detection_fields.value Valeur extraite du champ securityMarks.name ou findings.securityMarks.name selon le format du journal. La clé est définie sur securityMarks_name.
de gravité, security_result.severity Valeur extraite du champ severity ou findings.severity en fonction du format du journal et mappée au niveau de gravité UDM correspondant.
sourceDisplayName target.resource.attribute.labels.value Valeur extraite du champ sourceDisplayName ou findings.sourceDisplayName selon le format du journal. La clé est définie sur source_display_name.
sourceProperties.ReactivationCount target.resource.attribute.labels.value Valeur extraite du champ sourceProperties.ReactivationCount ou findings.sourceProperties.ReactivationCount selon le format du journal. La clé est définie sur sourceProperties_ReactivationCount.
state security_result.detection_fields.value Valeur extraite du champ state ou findings.state selon le format du journal. La clé est définie sur state.
metadata.event_type Définissez GENERIC_EVENT comme valeur par défaut.
metadata.log_type Valeur codée en dur GCP_SECURITYCENTER_ERROR.
metadata.description Valeur codée en dur Security Command Center.
metadata.product_name Valeur codée en dur Security Command Center.
metadata.vendor_name Valeur codée en dur Google.
target.resource.attribute.labels.key Valeur codée en dur finding_id.
target.resource.attribute.labels.value Extrait du champ name ou findings.name, en capturant la dernière partie après le dernier caractère /.
target.resource.product_object_id Extrait du champ parent ou findings.parent, en capturant la valeur après le dernier caractère /.
target.resource.ancestors.name Valeur extraite du champ parent ou findings.parent selon le format du journal.
target.resource_ancestors.name Extrait du champ resourceName ou findings.resourceName, en capturant la valeur après le préfixe //cloudresourcemanager.googleapis.com/projects/.
target.resource_ancestors.resource_type Valeur codée en dur CLOUD_PROJECT.
target.resource.attribute.labels.key Valeur codée en dur source_id.
target.resource.attribute.labels.value Extrait du champ parent ou findings.parent, en capturant la valeur après le deuxième caractère /.
security_result.alert_state Mappé en fonction du champ state ou findings.state. Si l'état est ACTIVE, alert_state est défini sur ALERTING, sinon sur NOT_ALERTING.
about.user.email_addresses Valeur extraite du champ iamBindings.member.
about.user.attribute.roles.name Valeur codée en dur Security.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.