Collecter les journaux de non-respect de la posture dans Cloud Security Command Center

Compatible avec:

Ce document explique comment exporter et ingérer les journaux de non-respect de la posture de Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les données JSON brutes des résultats en modèle de données unifié (UDM). Il extrait les champs pertinents, restructure les données, les met en correspondance avec les champs UDM et effectue diverses validations et enrichissements pour assurer la qualité et la cohérence des données.

Avant de commencer

  • Assurez-vous que Google Cloud Security Command Center est activé dans votre Google Cloud environnement.
  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous d'avoir un accès privilégié à Security Command Center et à Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets. Par exemple, gcp-scc-posture-violation-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer la journalisation de Security Command Center

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Security Command Center.

    Accéder à Security Command Center

  3. Sélectionnez votre organisation.

  4. Cliquez sur Paramètres.

  5. Cliquez sur l'onglet Exportations continues.

  6. Sous Nom de l'exportation, cliquez sur Exportation des journaux.

  7. Sous Récepteurs, activez l'option Consigner les résultats dans Logging.

  8. Sous Projet de journalisation, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

  9. Cliquez sur Enregistrer.

Configurer Google Cloud l'exportation des journaux de non-respect de la posture dans Security Command Center

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, scc-posture-violation-logs-sink).
    • Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-posture-violation-logs).

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fposture_violations"
resource.type="cloud_security_center_posture_violation"

    • Définir les options d'exportation: inclut toutes les entrées de journal.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurez un flux dans Google SecOps pour ingérer les Google Cloud journaux de non-respect de la posture de Security Command Center

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Google Cloud Journaux de non-respect de la posture dans Security Command Center).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Non-respect de la posture dans Security Command Center comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-scc-posture-violation-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
category read_only_udm.metadata.product_event_type Mappage direct.
changed_policy read_only_udm.security_result.rule_name Mappage direct.
cloudProvider read_only_udm.target.resource.attribute.cloud.environment Mappage direct.
Date et heure de création read_only_udm.security_result.detection_fields[createTime] Mappage direct.
finding.risks.riskCategory read_only_udm.security_result.detection_fields[risk_category] Mappage direct.
mute read_only_udm.security_result.detection_fields[mute] Mappage direct.
nom read_only_udm.metadata.product_log_id Mappage direct.
originalProviderId read_only_udm.target.resource.attribute.labels[original_provider_id] Mappage direct.
parent read_only_udm.target.resource_ancestors[0].name Mappage direct.
parentDisplayName read_only_udm.metadata.description Mappage direct.
propertyDataTypes.changed_policy.primitiveDataType read_only_udm.security_result.rule_labels[changed_policy_primitive_data_type] Mappage direct.
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType read_only_udm.security_result.rule_labels[detected_configuration_primitive_data_type] Mappage direct.
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType read_only_udm.security_result.rule_labels[expected_configuration_primitive_data_type] Mappage direct.
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.field_name.primitiveDataType read_only_udm.security_result.rule_labels[field_name_primitive_data_type] Mappage direct.
propertyDataTypes.posture_deployment_name.primitiveDataType read_only_udm.security_result.detection_fields[posture_deployment_name_primitiveDataType] Mappage direct.
propertyDataTypes.posture_deployment_resource.primitiveDataType read_only_udm.security_result.detection_fields[posture_deployment_resource_primitiveDataType] Mappage direct.
propertyDataTypes.posture_name.primitiveDataType read_only_udm.security_result.detection_fields[posture_name_primitiveDataType] Mappage direct.
propertyDataTypes.posture_revision_id.primitiveDataType read_only_udm.security_result.detection_fields[posture_revision_id_primitiveDataType] Mappage direct.
resource.cloudProvider read_only_udm.target.resource.attribute.cloud.environment Mappage direct.
resource.displayName read_only_udm.target.resource.attribute.labels[resource_displayName] Mappage direct.
resource.gcpMetadata.organization read_only_udm.target.resource.attribute.labels[resource_organization] Mappage direct.
resource.gcpMetadata.parent read_only_udm.target.resource.attribute.labels[resource_parent] Mappage direct.
resource.gcpMetadata.parentDisplayName read_only_udm.target.resource.attribute.labels[resource_parentDisplayName] Mappage direct.
resource.gcpMetadata.project read_only_udm.target.resource.attribute.labels[resource_project] Mappage direct.
resource.gcpMetadata.projectDisplayName read_only_udm.target.resource.attribute.labels[resource_projectDisplayName] Mappage direct.
resource.organization read_only_udm.target.resource.attribute.labels[resource_organization] Mappage direct.
resource.resourcePath.nodes.displayName read_only_udm.target.resource_ancestors.name Mappage direct.
resource.resourcePath.nodes.id read_only_udm.target.resource_ancestors.product_object_id Mappage direct.
resource.resourcePath.nodes.nodeType read_only_udm.target.resource_ancestors.resource_subtype Mappage direct.
resource.resourcePathString read_only_udm.target.resource.attribute.labels[resource_path_string] Mappage direct.
resource.service read_only_udm.target.resource_ancestors[10].name Mappage direct.
resource.type read_only_udm.target.resource.attribute.labels[resource_type] Mappage direct.
resourceName read_only_udm.target.resource.name Mappage direct.
securityPosture.changedPolicy read_only_udm.security_result.rule_labels[changed_policy] Mappage direct.
securityPosture.name read_only_udm.security_result.detection_fields[security_posture_name] Mappage direct.
securityPosture.policyDriftDetails[0].detectedValue read_only_udm.security_result.rule_labels[policy_drift_details_detected_value] Mappage direct.
securityPosture.policyDriftDetails[0].expectedValue read_only_udm.security_result.rule_labels[policy_drift_details_expected_value] Mappage direct.
securityPosture.policyDriftDetails[0].field read_only_udm.security_result.rule_labels[policy_drift_details_field] Mappage direct.
securityPosture.policySet read_only_udm.security_result.rule_set Mappage direct.
securityPosture.postureDeployment read_only_udm.security_result.detection_fields[posture_deployment] Mappage direct.
securityPosture.postureDeploymentResource read_only_udm.security_result.detection_fields[posture_deployment_resource] Mappage direct.
securityPosture.revisionId read_only_udm.security_result.detection_fields[security_posture_revision_id] Mappage direct.
de gravité, read_only_udm.security_result.severity Mappage direct.
sourceProperties.categories[0] read_only_udm.security_result.detection_fields[source_properties_categories] Mappage direct.
sourceProperties.changed_policy read_only_udm.security_result.rule_name Mappage direct.
sourceProperties.name read_only_udm.target.application Mappage direct.
sourceProperties.policy_drift_details[0].drift_details.detected_configuration read_only_udm.security_result.rule_labels[policy_drift_details_detected_configuration] Mappage direct.
sourceProperties.policy_drift_details[0].drift_details.expected_configuration read_only_udm.security_result.rule_labels[policy_drift_details_expected_configuration] Mappage direct.
sourceProperties.policy_drift_details[0].field_name read_only_udm.security_result.rule_labels[policy_drift_details_field_name] Mappage direct.
sourceProperties.posture_deployment read_only_udm.security_result.detection_fields[source_properties_posture_deployment_name] Mappage direct.
sourceProperties.posture_deployment_name read_only_udm.security_result.detection_fields[source_properties_posture_deployment_name] Mappage direct.
sourceProperties.posture_deployment_resource read_only_udm.security_result.detection_fields[source_properties_posture_deployment_resource] Mappage direct.
sourceProperties.posture_name read_only_udm.target.application Mappage direct.
sourceProperties.posture_revision_id read_only_udm.security_result.detection_fields[source_properties_posture_revision_id] Mappage direct.
sourceProperties.revision_id read_only_udm.security_result.detection_fields[source_properties_posture_revision_id] Mappage direct.
state read_only_udm.security_result.detection_fields[state] Mappage direct.
read_only_udm.metadata.vendor_name L'analyseur met en correspondance la valeur statique Google.
read_only_udm.metadata.product_name L'analyseur met en correspondance la valeur statique Security Command Center.
read_only_udm.target.resource.resource_type L'analyseur met en correspondance la valeur statique CLUSTER.
read_only_udm.security_result.about.investigation.status L'analyseur met en correspondance la valeur statique NEW.
read_only_udm.security_result.alert_state L'analyseur met en correspondance la valeur statique ALERTING.
read_only_udm.is_alert L'analyseur met en correspondance la valeur statique true.
read_only_udm.is_significant L'analyseur met en correspondance la valeur statique true.
read_only_udm.metadata.event_type L'analyseur mappe GENERIC_EVENT comme valeur par défaut. Si le champ "category" est égal à "SECURITY_POSTURE_DRIFT" et que "client_device_present" et "token_target.application" ne sont pas vides, il est mappé sur "SERVICE_MODIFICATION". Si le champ "category" est égal à "SECURITY_POSTURE_POLICY_DRIFT", "SECURITY_POSTURE_POLICY_DELETE", "SECURITY_POSTURE_DETECTOR_DRIFT" ou "SECURITY_POSTURE_DETECTOR_DELETE", et que "network_edr_not_present" est défini sur "false" et que "client_device_present" est défini sur "true", il est mappé sur "SCAN_UNCATEGORIZED". Si le champ "token_metadata.event_type" est égal à "GENERIC_EVENT", que "network_edr_not_present" est défini sur "false" et que "client_device_present" est défini sur "true", il est mappé sur "STATUS_UPDATE".
read_only_udm.target.resource_ancestors[1].resource_type L'analyseur met en correspondance la valeur statique CLOUD_PROJECT.
read_only_udm.target.resource.product_object_id L'analyseur extrait la valeur du champ "parent", entre le deuxième et le troisième caractère "/".
read_only_udm.target.resource_ancestors[1].name L'analyseur extrait la valeur du champ "resourceName", entre le quatrième et le cinquième caractère "/".
read_only_udm.security_result.url_back_to_product L'analyseur crée dynamiquement l'URL à l'aide des ID de l'organisation, de la source et de la recherche extraits du journal.
securityMarks.name read_only_udm.security_result.detection_fields[securityMarks_name] Mappage direct.

Modifications

2025-02-07

  • Mise à jour du mappage du champ UDM security_result.url_back_to_product. Ajout de la valeur de l'ID de projet à partir de la valeur du champ de journal brut resource.projectDisplayName à la fin de l'URL mappée sur le champ UDM security_result.url_back_to_product avec le préfixe ;?project=.

2024-11-21

  • Prise en charge de la version 2 de l'API SCC. Les champs suivants sont inclus dans la mise à jour :
  • resource.gcpMetadata.project
  • resource.gcpMetadata.projectDisplayName
  • resource.gcpMetadata.parent
  • resource.gcpMetadata.parentDisplayName
  • resource.gcpMetadata.folders.resourceFolder
  • resource.gcpMetadata.folders.resourceFolderDisplayName
  • resource.gcpMetadata.organization

2024-03-20

  • Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.