Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Kombinasi Toksik Security Command Center

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengekspor dan menyerap log Kombinasi Berbahaya Security Command Center ke Google Security Operations menggunakan Cloud Storage. Parser mengekstrak dan menyusun data temuan keamanan dari log JSON. SDK ini menormalisasi data ke dalam model data terpadu (UDM), menangani berbagai format data, dan memperkayanya dengan konteks tambahan seperti informasi jaringan dan detail agen pengguna.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Security Command Center diaktifkan dan dikonfigurasi di lingkungan Google Cloud Anda.
Instance Google SecOps.
Akses istimewa ke Security Command Center dan Cloud Logging.

Membuat bucket Cloud Storage

Login ke konsolGoogle Cloud .
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
1. Di bagian Mulai, lakukan tindakan berikut:
  1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-scc-toxic-combination-logs.
  2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.
    
    Catatan: Anda tidak dapat mengaktifkan namespace hierarkis pada bucket yang ada.
  3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.
  4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:
  1. Pilih Jenis lokasi.
  2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
    
    Catatan: Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo dengan menggunakan kotak centang yang relevan.
  3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.
3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
4. Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.
  
  Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:
  1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket Anda.
  2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.

Mengonfigurasi logging Security Command Center

Login ke konsolGoogle Cloud .
Buka halaman Security Command Center.

Buka Security Command Center
Pilih organisasi Anda.
Klik Setelan.
Klik tab Ekspor Berkelanjutan.
Di bagian Nama ekspor, klik Logging Export.
Di bagian Sink, aktifkan Log Temuan ke Logging.
Di bagian Project logging, masukkan atau cari project tempat Anda ingin mencatat temuan.
Klik Simpan.

Mengonfigurasi ekspor log Kombinasi Berbahaya Security Command Center

Login ke konsolGoogle Cloud .
Buka Logging > Log Router.
Klik Create Sink.
Berikan parameter konfigurasi berikut:
- Sink Name: masukkan nama yang bermakna; misalnya, scc-toxic-combination-logs-sink.
- Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-scc-toxic-combination-logs.
- Filter Log:
```
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"
```
- Tetapkan Opsi Ekspor: menyertakan semua entri log.
Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

Buka IAM & Admin > IAM.
Temukan akun layanan Cloud Logging.
Berikan roles/storage.admin pada bucket.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Log Kombinasi Berbahaya Security Command Center.
Pilih Google Cloud Storage sebagai Jenis sumber.
Pilih Security Command Center Toxic Combination sebagai Log type.
Klik Dapatkan Akun Layanan di samping kolom Akun Layanan Chronicle.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya, gs://gcp-scc-toxic-combination-logs.
- URI Adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya, gs://gcp-scc-toxic-combination-logs.
URI Adalah: pilih Direktori yang menyertakan subdirektori.
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
category	read_only_udm.metadata.product_event_type	Dipetakan langsung dari kolom `category` dalam log mentah.
createTime	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari kolom `createTime` dalam log mentah, dengan kunci adalah 'createTime'.
mute	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari kolom `mute` dalam log mentah, dengan kunci adalah 'mute'.
nama	read_only_udm.metadata.product_log_id	Dipetakan langsung dari kolom `name` dalam log mentah.
parent	read_only_udm.target.resource_ancestors.name	Dipetakan langsung dari kolom `parent` dalam log mentah.
parentDisplayName	read_only_udm.metadata.description	Dipetakan langsung dari kolom `parentDisplayName` dalam log mentah.
resource.displayName	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.displayName` dalam log mentah, dengan kunci adalah 'resource_displayName'.
resource.folders	read_only_udm.target.resource_ancestors	Parser mengekstrak informasi folder resource dari array `folders` dalam objek `resource`. Fungsi ini melakukan iterasi melalui setiap folder dan memetakan `resourceFolder` ke `name` dan `resourceFolderDisplayName` ke `attribute.labels.value` dengan kunci 'folder_resourceFolderDisplayName'.
resource.name	read_only_udm.target.resource.name	Dipetakan langsung dari kolom `resource.name` dalam log mentah.
resource.parent	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.parent` dalam log mentah, dengan kunci adalah 'resource_parent'.
resource.parentDisplayName	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.parentDisplayName` dalam log mentah, dengan kunci adalah 'resource_parentDisplayName'.
resource.project	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.project` di log mentah, dengan kunci adalah 'resource_project'.
resource.projectDisplayName	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.projectDisplayName` dalam log mentah, dengan kunci adalah 'resource_projectDisplayName'.
resource.service	read_only_udm.target.application	Dipetakan langsung dari kolom `resource.service` dalam log mentah.
resource.type	read_only_udm.target.resource.attribute.labels.value	Dipetakan langsung dari kolom `resource.type` dalam log mentah, dengan key adalah 'resource_type'.
resourceName	read_only_udm.target.resource.name	Dipetakan langsung dari kolom `resourceName` dalam log mentah.
securityMarks.name	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari kolom `securityMarks.name` dalam log mentah, dengan kunci adalah 'securityMarks_name'.
tingkat keseriusan,	read_only_udm.security_result.severity	Dipetakan langsung dari kolom `severity` dalam log mentah.
state	read_only_udm.security_result.detection_fields.value	Dipetakan langsung dari kolom `state` dalam log mentah, dengan kunci adalah 'state'.
eventTime	read_only_udm.metadata.event_timestamp.seconds	Parser mengekstrak stempel waktu dari kolom `eventTime` dan mengonversinya menjadi detik epoch Unix.
	read_only_udm.metadata.product_name	Parser menetapkan `product_name` ke `Security Command Center` berdasarkan sumber log.
	read_only_udm.metadata.vendor_name	Parser menetapkan `vendor_name` ke `Google` berdasarkan sumber log.
	read_only_udm.security_result.alert_state	Parser menetapkan `alert_state` ke `ALERTING` karena log ini mewakili notifikasi aktif.
	read_only_udm.security_result.category_details	Parser menetapkan `category_details` ke `POSTURE_VIOLATION` berdasarkan sumber log.
	read_only_udm.security_result.url_back_to_product	Parser secara dinamis membuat `url_back_to_product` menggunakan ID organisasi, sumber, dan temuan yang diekstrak dari log.
parent	read_only_udm.target.resource.product_object_id	Parser mengekstrak ID sumber dari kolom `parent` dan menetapkannya sebagai `product_object_id`.
resourceName	read_only_udm.target.resource_ancestors.name	Parser mengekstrak project ID dari kolom `resourceName` dan menetapkannya sebagai entri `resource_ancestors` dengan `resource_type` sebagai `CLOUD_PROJECT`.
	read_only_udm.target.resource_ancestors.resource_subtype	Parser menetapkan `resource_subtype` ke `google.cloud.resourcemanager.Project` untuk ancestor folder berdasarkan sumber log.
	read_only_udm.target.resource.attribute.labels.key	Parser menetapkan beberapa kunci untuk kolom `labels` dalam objek `attribute` dari resource target. Kunci ini mencakup 'resource_parentDisplayName', 'resource_type', 'resource_projectDisplayName', 'resource_displayName', 'finding_id', 'source_id', 'resource_parent', dan 'resource_project'.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.