Raccogli i log di osservazione di Security Command Center

Supportato in:

Questo documento spiega come esportare e importare i log di osservazione di Security Command Center in Google Security Operations utilizzando Cloud Storage. Il parser trasforma i dati JSON non elaborati in un modello UDM (Unified Data Model). Normalizza la struttura dei dati, gestendo le potenziali variazioni nell'input, quindi estrae e mappa i campi pertinenti nello schema UDM, arricchendo i dati con contesto e flag aggiuntivi per l'analisi downstream.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Security Command Center è abilitato e configurato nel tuo ambiente Google Cloud .
  • Istanza Google SecOps.
  • Accesso con privilegi a Security Command Center e Cloud Logging.

Crea un bucket Cloud Storage

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio gcp-scc-observation-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.

      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configura la registrazione di Security Command Center

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Security Command Center.

    Vai a Security Command Center

  3. Seleziona la tua organizzazione.

  4. Fai clic su Impostazioni.

  5. Fai clic sulla scheda Esportazioni continue.

  6. In Nome esportazione, fai clic su Esportazione logging.

  7. Nella sezione Sink, attiva Registra i risultati in Logging.

  8. In Progetto di logging, inserisci o cerca il progetto in cui vuoi registrare i risultati.

  9. Fai clic su Salva.

Configura l'esportazione dei log di osservazione di Security Command Center

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Logging > Router dei log.
  3. Fai clic su Crea sink.

  4. Fornisci i seguenti parametri di configurazione:

    • Nome sink: inserisci un nome significativo, ad esempio scc-observation-logs-sink.
    • Destinazione sink: seleziona Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-scc-observation-logs.

    • Filtro log:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations"
resource.type="security_command_center_observation"
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings"
 resource.type="security_center_findings"

    • Imposta opzioni di esportazione: includi tutte le voci di log.

  5. Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

  1. Vai a IAM e amministrazione > IAM.
  2. Individua l'account di servizio Cloud Logging.
  3. Concedi il ruolo roles/storage.admin sul bucket.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di osservazione di Security Command Center.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona Osservazione di Security Command Center come Tipo di log.
  7. Fai clic su Ottieni account di servizio accanto al campo Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: URL del bucket Cloud Storage, ad esempio gs://gcp-scc-observation-logs.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: URL del bucket Cloud Storage, ad esempio gs://gcp-scc-observation-logs.
  • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
access.callerIp read_only_udm.principal.ip Mappatura diretta.
access.callerIpGeo.regionCode read_only_udm.principal.location.country_or_region Mappatura diretta.
access.methodName read_only_udm.additional.fields.value.string_value Mappatura diretta. Mappato anche a read_only_udm.target.labels.value.
access.principalEmail read_only_udm.principal.user.email_addresses Mappatura diretta.
access.principalSubject read_only_udm.principal.user.attribute.labels.value Mappatura diretta.
assetDisplayName read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
assetId read_only_udm.target.asset.asset_id Il valore dopo assets/ viene estratto dal campo assetId e mappato come AssetID:<extracted_value>.
categoria read_only_udm.metadata.product_event_type Mappatura diretta.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Mappatura diretta. L'oggetto about può ripetersi più volte in base al numero di contatti. Il campo roles.name è impostato su Security per questo campo.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Mappatura diretta. L'oggetto about può ripetersi più volte in base al numero di contatti. Il campo roles.name è impostato su Technical per questo campo.
Ora di creazione read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su createTime per questo campo.
eventTime read_only_udm.metadata.event_timestamp Convertito nel formato timestamp.
externalUri read_only_udm.about.url Mappatura diretta.
findingClass read_only_udm.security_result.category_details Mappatura diretta.
findingProviderId read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
mitreAttack.primaryTactic read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su primary_tactic per questo campo.
mitreAttack.primaryTechniques read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base al numero di tecniche. Il campo key è impostato su primary_technique per questo campo.
mute read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su mute per questo campo.
nome read_only_udm.metadata.product_log_id Mappatura diretta.
parentDisplayName read_only_udm.metadata.description Mappatura diretta.
resource.display_name read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resource.name read_only_udm.target.resource.name, read_only_udm.principal.resource.name Mappatura diretta. Quando questo campo viene utilizzato per compilare il campo principal.resource.name, il parser verifica se resource.project_name è vuoto. Se non è vuoto, verrà utilizzato resource.project_name.
resource.parent_display_name read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resource.parent_name read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resource.project_display_name read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resource.project_name read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resource.type read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
resourceName read_only_udm.target.resource.name Mappatura diretta.
securityMarks.name read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su securityMarks_name per questo campo.
gravità read_only_udm.security_result.severity, read_only_udm.security_result.priority_details Mappatura diretta.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
sourceProperties.contextUris.mitreUri.displayName read_only_udm.security_result.detection_fields.key Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili.
sourceProperties.contextUris.mitreUri.url read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili.
sourceProperties.detectionCategory.ruleName read_only_udm.security_result.rule_name Mappatura diretta.
sourceProperties.detectionCategory.subRuleName read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su sourceProperties_detectionCategory_subRuleName per questo campo.
sourceProperties.detectionPriority read_only_udm.security_result.priority_details Mappatura diretta.
sourceProperties.findingId read_only_udm.target.resource.attribute.labels.value Mappatura diretta.
state read_only_udm.security_result.detection_fields.value Mappatura diretta. L'oggetto detection_fields può ripetersi più volte in base ai campi disponibili. Il campo key è impostato su state per questo campo.
N/D read_only_udm.metadata.log_type Codificato in modo permanente su GCP_SECURITYCENTER_OBSERVATION.
N/D read_only_udm.metadata.product_name Codificato in modo permanente su Security Command Center.
N/D read_only_udm.metadata.vendor_name Codificato in modo permanente su Google.
N/D read_only_udm.principal.user.account_type Imposta CLOUD_ACCOUNT_TYPE se è presente l'email dell'entità.
N/D read_only_udm.security_result.alert_state Codificato in modo permanente su ALERTING.
N/D read_only_udm.security_result.priority Imposta su LOW_PRIORITY se la gravità è LOW.
N/D read_only_udm.target.application Estratto dal campo resourceName.
N/D read_only_udm.target.resource.product_object_id Estratto dal campo principale.
N/D read_only_udm.target.resource.resource_type Impostato su CLUSTER per impostazione predefinita. Imposta su VIRTUAL_MACHINE se la categoria è Impact: GPU Instance Created o Impact: Many Instances Created. Impostato su SETTING se la categoria è Persistence: Add Sensitive Role.
N/D read_only_udm.target.resource_ancestors.name Estratto dai campi parent e resourceName.
N/D read_only_udm.target.resource_ancestors.product_object_id Estratto dai campi padre, resource.project_name e resourceName.
N/D read_only_udm.target.resource_ancestors.resource_type Imposta su CLOUD_PROJECT se resource.type è google.compute.Project.
N/D read_only_udm.target.labels.key Il valore è impostato su access_methodName se è presente access.methodName.
N/D read_only_udm.target.labels.value Il valore è impostato su access.methodName.
N/D read_only_udm.target.resource.attribute.labels.key La chiave è impostata su uno dei seguenti valori in base al campo disponibile: resource_parentDisplayName, resource_type, resource_parentName, resource_projectDisplayName, resource_displayName, finding_id, source_id, FindingProviderId, sourceDisplayName, asset_display_name.
N/D read_only_udm.target.resource.attribute.labels.value Il valore viene impostato da uno dei seguenti campi in base al campo disponibile: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName, assetDisplayName.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.