Raccogliere i log delle combinazioni dannose di Cloud Security Command Center

Supportato in:

Questo documento spiega come esportare e importare i log delle combinazioni dannose di Security Command Center in Google Security Operations utilizzando Cloud Storage. Il parser estrae e struttura i dati relativi ai risultati di sicurezza dai log JSON. Normalizza i dati in un modello di dati unificato (UDM), gestisce diversi formati di dati e li arricchisce con un contesto aggiuntivo, come informazioni sulla rete e dettagli dell'agente utente.

Prima di iniziare

  • Assicurati che Google Cloud Security Command Center sia abilitato e configurato nel tuo Google Cloud ambiente.
  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato a Security Command Center e Cloud Logging.

Crea un bucket Cloud Storage

  1. Accedi alla console Google Cloud.

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio gcp-scc-toxic-combination-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.

      3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configurare il logging di Security Command Center

  1. Accedi alla console Google Cloud.

  2. Vai alla pagina Security Command Center.

    Andare a Security Command Center

  3. Seleziona la tua organizzazione.

  4. Fai clic su Impostazioni.

  5. Fai clic sulla scheda Esportazioni continue.

  6. In Nome dell'esportazione, fai clic su Esportazione log.

  7. In Destinazioni, attiva Registra i risultati in Logging.

  8. In Progetto di registrazione, inserisci o cerca il progetto in cui vuoi registrare i risultati.

  9. Fai clic su Salva.

Configurare l' Google Cloud esportazione dei log delle combinazioni dannose di Security Command Center

  1. Accedi alla console Google Cloud.
  2. Vai a Logging > Router dei log.
  3. Fai clic su Crea sink.

  4. Fornisci i seguenti parametri di configurazione:

    • Nome sink: inserisci un nome significativo, ad esempio scc-toxic-combination-logs-sink.
    • Destinazione della destinazione: seleziona Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-scc-toxic-combination-logs.

    • Filtro log:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"

    • Imposta opzioni di esportazione: includi tutte le voci di log.

  5. Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

  1. Vai a IAM e amministrazione > IAM.
  2. Individua l'account di servizio Cloud Logging.
  3. Concedi il ruolo roles/storage.admin al bucket.

Configura un feed in Google SecOps per importare i Google Cloud log delle combinazioni dannose di Security Command Center

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Google Cloud Log delle combinazioni dannose del Security Command Center.
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona Combinazione di contenuti dannosi di Security Command Center come Tipo di log.
  6. Fai clic su Ottieni account di servizio accanto al campo Account di servizio Chronicle.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI del bucket di archiviazione: URL del bucket Cloud Storage, ad esempio gs://gcp-scc-toxic-combination-logs.
    • URI è: seleziona Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
categoria read_only_udm.metadata.product_event_type Mappato direttamente dal campo category nel log non elaborato.
createTime read_only_udm.security_result.detection_fields.value Mappato direttamente dal campo createTime nel log non elaborato, dove la chiave è "createTime".
mute read_only_udm.security_result.detection_fields.value Mappato direttamente dal campo mute nel log non elaborato, dove la chiave è "mute".
nome read_only_udm.metadata.product_log_id Mappato direttamente dal campo name nel log non elaborato.
principale read_only_udm.target.resource_ancestors.name Mappato direttamente dal campo parent nel log non elaborato.
parentDisplayName read_only_udm.metadata.description Mappato direttamente dal campo parentDisplayName nel log non elaborato.
resource.displayName read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.displayName nel log non elaborato, dove la chiave è "resource_displayName".
resource.folders read_only_udm.target.resource_ancestors Il parser estrae le informazioni sulle cartelle delle risorse dall'array folders nell'oggetto resource. Esegue l'iterazione in ogni cartella e mappa resourceFolder a name e resourceFolderDisplayName a attribute.labels.value, dove la chiave è "folder_resourceFolderDisplayName".
resource.name read_only_udm.target.resource.name Mappato direttamente dal campo resource.name nel log non elaborato.
resource.parent read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.parent nel log non elaborato, dove la chiave è "resource_parent".
resource.parentDisplayName read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.parentDisplayName nel log non elaborato, dove la chiave è "resource_parentDisplayName".
resource.project read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.project nel log non elaborato, dove la chiave è "resource_project".
resource.projectDisplayName read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.projectDisplayName nel log non elaborato, dove la chiave è "resource_projectDisplayName".
resource.service read_only_udm.target.application Mappato direttamente dal campo resource.service nel log non elaborato.
resource.type read_only_udm.target.resource.attribute.labels.value Mappato direttamente dal campo resource.type nel log non elaborato, dove la chiave è "resource_type".
resourceName read_only_udm.target.resource.name Mappato direttamente dal campo resourceName nel log non elaborato.
securityMarks.name read_only_udm.security_result.detection_fields.value Mappato direttamente dal campo securityMarks.name nel log non elaborato, dove la chiave è "securityMarks_name".
gravità read_only_udm.security_result.severity Mappato direttamente dal campo severity nel log non elaborato.
state read_only_udm.security_result.detection_fields.value Mappato direttamente dal campo state nel log non elaborato, dove la chiave è "state".
is_alert Il parser imposta il campo is_alert su true perché questo log rappresenta un avviso di sicurezza.
is_significant Il parser imposta il campo is_significant su true perché questo log rappresenta un evento di sicurezza significativo.
eventTime read_only_udm.metadata.event_timestamp.seconds Il parser estrae il timestamp dal campo eventTime e lo converte in secondi Unix epoch.
read_only_udm.metadata.product_name Il parser imposta product_name su Security Command Center in base all'origine del log.
read_only_udm.metadata.vendor_name Il parser imposta vendor_name su Google in base all'origine del log.
read_only_udm.security_result.alert_state Il parser imposta alert_state su ALERTING perché questo log rappresenta un avviso attivo.
read_only_udm.security_result.category_details Il parser imposta category_details su POSTURE_VIOLATION in base all'origine del log.
read_only_udm.security_result.url_back_to_product Il parser crea dinamicamente il url_back_to_product utilizzando gli ID organizzazione, origine e risultati estratti dal log.
principale read_only_udm.target.resource.product_object_id Il parser estrae l'ID origine dal campo parent e lo imposta come product_object_id.
resourceName read_only_udm.target.resource_ancestors.name Il parser estrae l'ID progetto dal campo resourceName e lo imposta come voce resource_ancestors con resource_type come CLOUD_PROJECT.
read_only_udm.target.resource_ancestors.resource_subtype L'analizzatore imposta resource_subtype su google.cloud.resourcemanager.Project per le cartelle principali in base all'origine del log.
read_only_udm.target.resource.attribute.labels.key Il parser imposta più chiavi per il campo labels nell'oggetto attribute della risorsa di destinazione. Queste chiavi includono "resource_parentDisplayName", "resource_type", "resource_projectDisplayName", "resource_displayName", "finding_id", "source_id", "resource_parent" e "resource_project".

Modifiche

2025-02-07

  • Aggiornata la mappatura per il campo UDM security_result.url_back_to_product. È stato aggiunto il valore dell'ID progetto dal valore del campo del log non elaborato resource.projectDisplayName alla fine dell'URL mappato al campo UDM security_result.url_back_to_product con il prefisso ;?project=.

2024-11-21

  • È stato aggiunto il supporto della versione 2 dell'API SCC e nell'ambito dell'aggiornamento sono inclusi i seguenti campi:
  • resource.gcpMetadata.project
  • resource.gcpMetadata.projectDisplayName
  • resource.gcpMetadata.parent
  • resource.gcpMetadata.parentDisplayName
  • resource.gcpMetadata.folders.resourceFolder
  • resource.gcpMetadata.folders.resourceFolderDisplayName
  • resource.gcpMetadata.organization

2024-03-20

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.