收集 Cloud Security Command Center 错误日志

支持的平台:

本文档介绍了如何使用 Cloud Storage 导出 Security Command Center 错误日志并将其提取到 Google 安全运营。解析器会将采用 JSON 格式的原始日志转换为统一数据模型 (UDM)。它会从原始日志中提取相关字段,执行数据清理和归一化,并根据 UDM 架构对输出进行结构化,以便进行一致的安全分析。

准备工作

  • 确保 Google Cloud 在您的环境中启用并配置了 Security Command Center Google Cloud 。
  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Security Command Center 和 Cloud Logging 的特权访问权限。

创建 Cloud Storage 存储桶

  1. 登录 Google Cloud 控制台

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下各步骤后,点击继续以进入下一步:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储分区名称要求的唯一名称;例如 gcp-scc-error-logs

      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储分区上启用分层命名空间

      3. 如需添加存储分区标签,请点击展开箭头以展开标签部分。

      4. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型

      2. 使用位置类型菜单选择一个位置,用于永久存储存储分区中的对象数据。

      3. 如需设置跨存储分区复制,请展开设置跨存储分区复制部分。

    3. 为数据选择一个存储类别部分中,为存储分区选择默认存储类别,或者选择 Autoclass 对存储分区数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择以强制执行禁止公开访问,然后为存储分区对象选择访问权限控制模型

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储分区设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法

  5. 点击创建

配置 Security Command Center 日志记录

  1. 登录 Google Cloud 控制台

  2. 前往 Security Command Center 页面。

    进入 Security Command Center

  3. 选择您的组织。

  4. 点击设置

  5. 点击连续导出标签页。

  6. 导出名称下,点击 Logging 导出

  7. 接收器下,开启将发现结果记录到 Logging

  8. 记录项目下,输入或搜索要在其中记录发现结果的项目。

  9. 点击保存

配置 Google Cloud Security Command Center 错误日志导出

  1. 登录 Google Cloud 控制台
  2. 依次前往日志记录 > 日志路由器
  3. 点击创建接收器

  4. 提供以下配置参数:

    • 接收器名称:输入一个有意义的名称,例如 scc-error-logs-sink
    • 接收器目标位置:选择 Cloud Storage 存储,然后输入存储分区的 URI;例如 gs://gcp-scc-error-logs

    • 日志过滤器

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"

    • 设置导出选项:包含所有日志条目。

  5. 点击创建

配置 Cloud Storage 权限

  1. 依次前往 IAM 和管理 > IAM
  2. 找到 Cloud Logging 服务账号。
  3. 向存储分区授予 roles/storage.admin

在 Google SecOps 中配置 Feed 以提取 Google Cloud Security Command Center 错误日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称;例如,Google Cloud Security Command Center 错误日志
  4. 选择 Google Cloud Storage 作为来源类型
  5. 选择 Security Command Center 错误作为日志类型
  6. 点击 Chronicle 服务账号字段旁边的获取服务账号
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 存储分区 URI:Cloud Storage 存储分区网址;例如 gs://gcp-scc-error-logs
    • URI 类型:选择包含子目录的目录

    • 来源删除选项:根据您的偏好选择删除选项。

    • 资源命名空间资源命名空间

    • 提取标签:应用于此 Feed 中的事件的标签。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
access.principalEmail about.user.email_addresses access.principalEmail 字段中提取的值。
类别 metadata.product_event_type categoryfindings.category 字段中提取的值,具体取决于日志格式。
contacts.security.contacts.email security_result.about.user.email_addresses contacts.security.contacts.email 字段中提取的值。角色设置为 Security
contacts.technical.contacts.email security_result.about.user.email_addresses contacts.technical.contacts.email 字段中提取的值。角色设置为 Technical
createTime security_result.detection_fields.value createTimefindings.createTime 字段中提取的值,具体取决于日志格式。该键设置为 createTime
说明 security_result.description descriptionfindings.description 字段中提取的值,具体取决于日志格式。
eventTime metadata.event_timestamp eventTimefindings.eventTime 字段中提取的值(具体取决于日志格式),并转换为时间戳。
externalUri about.url externalUrifindings.externalUri 字段中提取的值,具体取决于日志格式。
findingClass security_result.category_details findingClassfindings.findingClass 字段中提取的值,具体取决于日志格式。
findingProviderId target.resource.attribute.labels.value findingProviderIdfindings.findingProviderId 字段中提取的值,具体取决于日志格式。该键设置为 finding_provider_id
mute security_result.detection_fields.value mutefindings.mute 字段中提取的值,具体取决于日志格式。该键设置为 mute
nextSteps security_result.outcomes.value nextStepsfindings.nextSteps 字段中提取的值,具体取决于日志格式。该键设置为 nextSteps
resourceName target.resource.name resourceNamefindings.resourceNameresource_namefindings.resource_name 字段中提取的值,具体取决于日志格式。
securityMarks.name security_result.detection_fields.value securityMarks.namefindings.securityMarks.name 字段中提取的值,具体取决于日志格式。该键设置为 securityMarks_name
和程度上减少 security_result.severity severityfindings.severity 字段中提取的值(具体取决于日志格式),并映射到相应的 UDM 严重级别。
sourceDisplayName target.resource.attribute.labels.value sourceDisplayNamefindings.sourceDisplayName 字段中提取的值,具体取决于日志格式。该键设置为 source_display_name
sourceProperties.ReactivationCount target.resource.attribute.labels.value sourceProperties.ReactivationCountfindings.sourceProperties.ReactivationCount 字段中提取的值,具体取决于日志格式。该键设置为 sourceProperties_ReactivationCount
state security_result.detection_fields.value statefindings.state 字段中提取的值,具体取决于日志格式。该键设置为 state
is_alert 如果解析器逻辑确定事件表示有效提醒,则将其设置为 true
is_significant 如果解析器逻辑确定事件很重要,则将其设置为 true
metadata.event_type 默认值设为 GENERIC_EVENT
metadata.log_type 硬编码值 GCP_SECURITYCENTER_ERROR
metadata.description 硬编码值 Security Command Center
metadata.product_name 硬编码值 Security Command Center
metadata.vendor_name 硬编码值 Google
target.resource.attribute.labels.key 硬编码值 finding_id
target.resource.attribute.labels.value namefindings.name 字段中提取,捕获最后一个 / 字符后的最后一部分。
target.resource.product_object_id parentfindings.parent 字段中提取,捕获最后一个 / 字符后的值。
target.resource.ancestors.name parentfindings.parent 字段中提取的值,具体取决于日志格式。
target.resource_ancestors.name resourceNamefindings.resourceName 字段中提取,捕获 //cloudresourcemanager.googleapis.com/projects/ 前缀后的值。
target.resource_ancestors.resource_type 硬编码值 CLOUD_PROJECT
target.resource.attribute.labels.key 硬编码值 source_id
target.resource.attribute.labels.value parentfindings.parent 字段中提取,捕获第二个 / 字符后的值。
security_result.alert_state 根据 statefindings.state 字段进行映射。如果状态为 ACTIVE,则将 alert_state 设置为 ALERTING,否则设置为 NOT_ALERTING
about.user.email_addresses iamBindings.member 字段中提取的值。
about.user.attribute.roles.name 硬编码值 Security

变化

2023-11-29

  • 修复了 principal/target.hostnameprincipal/target.asset.hostname 处理方式之间的不一致问题。

2023-05-02

  • 确保 security_result.url_back_to_product 字段现在包含格式正确的网址。

2023-04-12

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。