Cloud Security Command Center-Protokolle zu schädlichen Kombinationen erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Security Command Center-Protokolle zu schädlichen Kombinationen mithilfe von Cloud Storage in Google Security Operations exportieren und aufnehmen. Der Parser extrahiert und strukturiert Daten zu Sicherheitsproblemen aus JSON-Logs. Dabei werden die Daten in einem einheitlichen Datenmodell (UDM) normalisiert, verschiedene Datenformate verarbeitet und mit zusätzlichen Kontextinformationen wie Netzwerkinformationen und User-Agent-Details angereichert.

Hinweise

  • Google Cloud Security Command Center muss in Ihrer Umgebung aktiviert und konfiguriert sein. Google Cloud
  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Security Command Center und Cloud Logging.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-scc-toxic-combination-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Security Command Center-Logging konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Security Command Center auf.

    Zum Security Command Center

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie auf Einstellungen.

  5. Klicken Sie auf den Tab Kontinuierliche Exporte.

  6. Klicken Sie unter Exportname auf Logging-Export.

  7. Aktivieren Sie unter Senken die Option Ergebnisse in Logging in Logs speichern.

  8. Geben Sie unter Logging-Projekt das Projekt ein, in dem Sie die Ergebnisse protokollieren möchten, oder suchen Sie nach dem Projekt.

  9. Klicken Sie auf Speichern.

Google Cloud Security Command Center-Export von Protokollen zu schädlichen Kombinationen konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. scc-toxic-combination-logs-sink.
    • Sink-Ziel: Wählen Sie Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-scc-toxic-combination-logs.

    • Log-Filter:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"

    • Exportoptionen festlegen: Alle Logeinträge einschließen.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Konfigurieren Sie einen Feed in Google SecOps, um Google Cloud Security Command Center-Protokolle zu schädlichen Kombinationen aufzunehmen.

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Google Cloud Security Command Center-Protokolle zu schädlichen Kombinationen.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie als Logtyp Security Command Center Toxic Combination aus.
  6. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-scc-toxic-combination-logs.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

    • Asset-Namespace: der Asset-Namespace.

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Kategorie read_only_udm.metadata.product_event_type Direkt aus dem Feld category im Rohprotokoll zugeordnet.
createTime read_only_udm.security_result.detection_fields.value Wird direkt aus dem Feld createTime im Rohprotokoll zugeordnet, wobei der Schlüssel „createTime“ ist.
mute read_only_udm.security_result.detection_fields.value Wird direkt aus dem Feld mute im Rohprotokoll zugeordnet, wobei der Schlüssel „mute“ ist.
Name read_only_udm.metadata.product_log_id Direkt aus dem Feld name im Rohprotokoll zugeordnet.
Übergeordnetes Element read_only_udm.target.resource_ancestors.name Direkt aus dem Feld parent im Rohprotokoll zugeordnet.
parentDisplayName read_only_udm.metadata.description Direkt aus dem Feld parentDisplayName im Rohprotokoll zugeordnet.
resource.displayName read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.displayName im Rohprotokoll zugeordnet, wobei „resource_displayName“ der Schlüssel ist.
resource.folders read_only_udm.target.resource_ancestors Der Parser extrahiert Informationen zum Ressourcenordner aus dem folders-Array im resource-Objekt. Es durchsucht jeden Ordner und ordnet resourceFolder zu name und resourceFolderDisplayName zu attribute.labels.value zu, wobei der Schlüssel „folder_resourceFolderDisplayName“ ist.
resource.name read_only_udm.target.resource.name Direkt aus dem Feld resource.name im Rohprotokoll zugeordnet.
resource.parent read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.parent im Rohprotokoll zugeordnet, wobei der Schlüssel „resource_parent“ ist.
resource.parentDisplayName read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.parentDisplayName im Rohprotokoll zugeordnet, wobei der Schlüssel „resource_parentDisplayName“ ist.
resource.project read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.project im Rohprotokoll zugeordnet, wobei der Schlüssel „resource_project“ ist.
resource.projectDisplayName read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.projectDisplayName im Rohprotokoll zugeordnet, wobei der Schlüssel „resource_projectDisplayName“ ist.
resource.service read_only_udm.target.application Direkt aus dem Feld resource.service im Rohprotokoll zugeordnet.
resource.type read_only_udm.target.resource.attribute.labels.value Wird direkt aus dem Feld resource.type im Rohprotokoll zugeordnet, wobei der Schlüssel „resource_type“ ist.
resourceName read_only_udm.target.resource.name Direkt aus dem Feld resourceName im Rohprotokoll zugeordnet.
securityMarks.name read_only_udm.security_result.detection_fields.value Wird direkt aus dem Feld securityMarks.name im Rohprotokoll zugeordnet, wobei der Schlüssel „securityMarks_name“ ist.
die Ausprägung read_only_udm.security_result.severity Direkt aus dem Feld severity im Rohprotokoll zugeordnet.
Status read_only_udm.security_result.detection_fields.value Wird direkt aus dem Feld state im Rohprotokoll zugeordnet, wobei „state“ der Schlüssel ist.
is_alert Der Parser setzt das Feld is_alert auf true, da dieses Protokoll eine Sicherheitswarnung darstellt.
is_significant Der Parser setzt das Feld is_significant auf true, da dieses Protokoll ein wichtiges Sicherheitsereignis darstellt.
eventTime read_only_udm.metadata.event_timestamp.seconds Der Parser liest den Zeitstempel aus dem Feld eventTime und wandelt ihn in Unix-Epochen-Sekunden um.
read_only_udm.metadata.product_name Der Parser setzt product_name basierend auf der Protokollquelle auf Security Command Center.
read_only_udm.metadata.vendor_name Der Parser setzt vendor_name basierend auf der Protokollquelle auf Google.
read_only_udm.security_result.alert_state Der Parser setzt alert_state auf ALERTING, da dieses Protokoll einen aktiven Alarm darstellt.
read_only_udm.security_result.category_details Der Parser setzt category_details basierend auf der Protokollquelle auf POSTURE_VIOLATION.
read_only_udm.security_result.url_back_to_product Der Parser erstellt die url_back_to_product dynamisch anhand der aus dem Protokoll extrahierten IDs für Organisation, Quelle und Ergebnisse.
Übergeordnetes Element read_only_udm.target.resource.product_object_id Der Parser extrahiert die Quell-ID aus dem Feld parent und legt sie als product_object_id fest.
resourceName read_only_udm.target.resource_ancestors.name Der Parser extrahiert die Projekt-ID aus dem Feld resourceName und legt sie als resource_ancestors-Eintrag mit resource_type als CLOUD_PROJECT fest.
read_only_udm.target.resource_ancestors.resource_subtype Der Parser setzt den Wert für resource_subtype für übergeordnete Ordner basierend auf der Protokollquelle auf google.cloud.resourcemanager.Project.
read_only_udm.target.resource.attribute.labels.key Der Parser legt mehrere Schlüssel für das Feld labels im attribute-Objekt der Zielressource fest. Dazu gehören „resource_parentDisplayName“, „resource_type“, „resource_projectDisplayName“, „resource_displayName“, „finding_id“, „source_id“, „resource_parent“ und „resource_project“.

Änderungen

2025-02-07

  • Die Zuordnung für das UDM-Feld security_result.url_back_to_product wurde aktualisiert. Der Wert der Projekt-ID aus dem Wert des Rohlogs resource.projectDisplayName wurde an das Ende der URL angehängt, die dem UDM-Feld security_result.url_back_to_product mit dem Präfix ;?project= zugeordnet ist.

2024-11-21

  • Die SCC API wird jetzt in Version 2 unterstützt. Im Rahmen dieser Aktualisierung wurden die folgenden Felder hinzugefügt:
  • resource.gcpMetadata.project
  • resource.gcpMetadata.projectDisplayName
  • resource.gcpMetadata.parent
  • resource.gcpMetadata.parentDisplayName
  • resource.gcpMetadata.folders.resourceFolder
  • resource.gcpMetadata.folders.resourceFolderDisplayName
  • resource.gcpMetadata.organization

2024-03-20

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten