此页面由 Cloud Translation API 翻译。

收集 Cloud Security Command Center 有毒组合日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Cloud Storage 将 Security Command Center 有毒组合日志导出并提取到 Google 安全运营中。解析器会从 JSON 日志中提取并构建安全发现数据。它会将数据标准化为统一的数据模型 (UDM)，处理不同的数据格式，并通过网络信息和用户代理详细信息等其他情境来丰富数据。

准备工作

确保 Google Cloud 在您的环境中启用并配置了 Security Command Center Google Cloud 。
确保您拥有 Google SecOps 实例。
确保您拥有对 Security Command Center 和 Cloud Logging 的特权访问权限。

创建 Cloud Storage 存储桶

登录 Google Cloud 控制台。
前往 Cloud Storage 存储分区页面。

进入“存储桶”
点击创建。
在创建存储桶页面上，输入您的存储桶信息。完成以下各步骤后，点击继续以进入下一步：
1. 在开始使用部分中，执行以下操作：
  1. 输入符合存储分区名称要求的唯一名称；例如 gcp-scc-toxic-combination-logs。
  2. 如需启用分层命名空间，请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分，然后选择在此存储分区上启用分层命名空间。
    
    注意：您无法在现有存储分区上启用分层命名空间。
  3. 如需添加存储分区标签，请点击展开箭头以展开标签部分。
  4. 点击添加标签，然后为标签指定键和值。
2. 在选择数据存储位置部分中，执行以下操作：
  1. 选择位置类型。
  2. 使用位置类型菜单选择一个位置，用于永久存储存储分区中的对象数据。
    
    注意：如果您选择双区域位置类型，还可以使用相关复选框选择启用增强型复制。
  3. 如需设置跨存储分区复制，请展开设置跨存储分区复制部分。
3. 在为数据选择一个存储类别部分中，为存储分区选择默认存储类别，或者选择 Autoclass 对存储分区数据进行自动存储类别管理。
4. 在选择如何控制对对象的访问权限部分中，选择否以强制执行禁止公开访问，然后为存储分区对象选择访问权限控制模型。
  
  注意：如果项目的组织政策已强制执行禁止公开访问，则禁止公开访问复选框处于锁定状态。
5. 在选择如何保护对象数据部分中，执行以下操作：
  1. 在数据保护下，选择您要为存储分区设置的任何选项。
  2. 如需选择对象数据的加密方式，请点击标有数据加密的展开箭头，然后选择数据加密方法。
点击创建。

配置 Security Command Center 日志记录

登录 Google Cloud 控制台。
前往 Security Command Center 页面。

进入 Security Command Center
选择您的组织。
点击设置。
点击连续导出标签页。
在导出名称下，点击 Logging 导出。
在接收器下，开启将发现结果记录到 Logging。
在记录项目下，输入或搜索要在其中记录发现结果的项目。
点击保存。

配置 Google Cloud Security Command Center 有毒组合日志导出

登录 Google Cloud 控制台。
依次前往日志记录 > 日志路由器。
点击创建接收器。
提供以下配置参数：
- 接收器名称：输入一个有意义的名称，例如 scc-toxic-combination-logs-sink。
- 接收器目标位置：选择 Cloud Storage 存储，然后输入存储分区的 URI；例如 gs://gcp-scc-toxic-combination-logs。
- 日志过滤器：
```
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"
```
- 设置导出选项：包含所有日志条目。
点击创建。

配置 Cloud Storage 权限

依次前往 IAM 和管理 > IAM。
找到 Cloud Logging 服务账号。
向存储分区授予 roles/storage.admin。

在 Google SecOps 中配置 Feed 以提取 Google Cloud Security Command Center 有毒组合日志

依次前往 SIEM 设置 > Feed。
点击新增。
在 Feed 名称字段中，输入 Feed 的名称；例如，Google Cloud 安全命令中心有毒组合日志。
选择 Google Cloud Storage 作为来源类型。
选择 Security Command Center Toxic Combination（Security Command Center 有毒组合）作为日志类型。
点击 Chronicle 服务账号字段旁边的获取服务账号。
点击下一步。
为以下输入参数指定值：
- 存储分区 URI：Cloud Storage 存储分区网址；例如 gs://gcp-scc-toxic-combination-logs。
- URI 类型：选择包含子目录的目录。
- 来源删除选项：根据您的偏好选择删除选项。
  
  注意：如果您选择 Delete transferred files 或 Delete transferred files and empty directories 选项，请确保您已向服务账号授予适当的权限。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
类别	read_only_udm.metadata.product_event_type	直接从原始日志中的 `category` 字段映射。
createTime	read_only_udm.security_result.detection_fields.value	直接从原始日志中的 `createTime` 字段映射而来，其中键为“createTime”。
mute	read_only_udm.security_result.detection_fields.value	直接从原始日志中的 `mute` 字段映射而来，其中键为“mute”。
name	read_only_udm.metadata.product_log_id	直接从原始日志中的 `name` 字段映射。
父级	read_only_udm.target.resource_ancestors.name	直接从原始日志中的 `parent` 字段映射。
parentDisplayName	read_only_udm.metadata.description	直接从原始日志中的 `parentDisplayName` 字段映射。
resource.displayName	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.displayName` 字段映射而来，其中键为“resource_displayName”。
resource.folders	read_only_udm.target.resource_ancestors	解析器会从 `resource` 对象中的 `folders` 数组中提取资源文件夹信息。它会遍历每个文件夹，并将 `resourceFolder` 映射到 `name`，将 `resourceFolderDisplayName` 映射到 `attribute.labels.value`，其中键为“folder_resourceFolderDisplayName”。
resource.name	read_only_udm.target.resource.name	直接从原始日志中的 `resource.name` 字段映射。
resource.parent	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.parent` 字段映射而来，其中键为“resource_parent”。
resource.parentDisplayName	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.parentDisplayName` 字段映射而来，其中键为“resource_parentDisplayName”。
resource.project	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.project` 字段映射而来，其中键为“resource_project”。
resource.projectDisplayName	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.projectDisplayName` 字段映射而来，其中键为“resource_projectDisplayName”。
resource.service	read_only_udm.target.application	直接从原始日志中的 `resource.service` 字段映射。
resource.type	read_only_udm.target.resource.attribute.labels.value	直接从原始日志中的 `resource.type` 字段映射而来，其中键为“resource_type”。
resourceName	read_only_udm.target.resource.name	直接从原始日志中的 `resourceName` 字段映射。
securityMarks.name	read_only_udm.security_result.detection_fields.value	直接从原始日志中的 `securityMarks.name` 字段映射而来，其中键为“securityMarks_name”。
和程度上减少	read_only_udm.security_result.severity	直接从原始日志中的 `severity` 字段映射。
state	read_only_udm.security_result.detection_fields.value	直接从原始日志中的 `state` 字段映射而来，其中键为“state”。
	is_alert	解析器会将 `is_alert` 字段设置为 `true`，因为此日志表示安全警报。
	is_significant	解析器将 `is_significant` 字段设置为 `true`，因为此日志表示重大安全事件。
eventTime	read_only_udm.metadata.event_timestamp.seconds	解析器会从 `eventTime` 字段中提取时间戳，并将其转换为 Unix 纪元秒数。
	read_only_udm.metadata.product_name	解析器会根据日志来源将 `product_name` 设置为 `Security Command Center`。
	read_only_udm.metadata.vendor_name	解析器会根据日志来源将 `vendor_name` 设置为 `Google`。
	read_only_udm.security_result.alert_state	解析器会将 `alert_state` 设置为 `ALERTING`，因为此日志表示有效提醒。
	read_only_udm.security_result.category_details	解析器会根据日志来源将 `category_details` 设置为 `POSTURE_VIOLATION`。
	read_only_udm.security_result.url_back_to_product	解析器使用从日志中提取的组织 ID、来源 ID 和发现 ID 动态构建 `url_back_to_product`。
父级	read_only_udm.target.resource.product_object_id	解析器会从 `parent` 字段中提取来源 ID，并将其设置为 `product_object_id`。
resourceName	read_only_udm.target.resource_ancestors.name	解析器会从 `resourceName` 字段中提取项目 ID，并将其设置为 `resource_ancestors` 条目，其中 `resource_type` 为 `CLOUD_PROJECT`。
	read_only_udm.target.resource_ancestors.resource_subtype	解析器会根据日志来源，将文件夹祖先的 `resource_subtype` 设置为 `google.cloud.resourcemanager.Project`。
	read_only_udm.target.resource.attribute.labels.key	解析器会在目标资源的 `attribute` 对象中为 `labels` 字段设置多个键。这些键包括“resource_parentDisplayName”“resource_type”“resource_projectDisplayName”“resource_displayName”“finding_id”“source_id”“resource_parent”和“resource_project”。

变化

2025-02-07

更新了 security_result.url_back_to_product UDM 字段的映射。将原始日志字段值 resource.projectDisplayName 的项目 ID 值添加到了网址的末尾，该网址已映射到前缀为 ;?project= 的 security_result.url_back_to_product UDM 字段。

2024-11-21

添加了对 SCC API v2 版本的支持，并在更新中添加了以下字段：
resource.gcpMetadata.project
resource.gcpMetadata.projectDisplayName
resource.gcpMetadata.parent
resource.gcpMetadata.parentDisplayName
resource.gcpMetadata.folders.resourceFolder
resource.gcpMetadata.folders.resourceFolderDisplayName
resource.gcpMetadata.organization

2024-03-20

新创建的解析器。