Nicht näher bezeichnete Cloud Security Command Center-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie nicht näher bezeichnete Security Command Center-Protokolle mithilfe von Cloud Storage in Google Security Operations exportieren und aufnehmen. Der Parser wandelt Rohdaten im JSON-Format in ein einheitliches Datenmodell (UDM) um. Insbesondere werden Inkonsistenzen in der Eingabedatenstruktur behandelt, relevante Felder wie Details zur Sicherheitslücke und Nutzerinformationen extrahiert und die Ausgabe mit Labels und Metadaten angereichert, um die Analyse und Korrelation zu verbessern.

Hinweise

  • Google Cloud Security Command Center muss in Ihrer Umgebung aktiviert und konfiguriert sein. Google Cloud
  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Security Command Center und Cloud Logging.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-scc-unspecified-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Security Command Center-Logging konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Security Command Center auf.

    Zum Security Command Center

  3. Wählen Sie Ihre Organisation aus.

  4. Klicken Sie auf Einstellungen.

  5. Klicken Sie auf den Tab Kontinuierliche Exporte.

  6. Klicken Sie unter Exportname auf Logging-Export.

  7. Aktivieren Sie unter Senken die Option Ergebnisse in Logging in Logs speichern.

  8. Geben Sie unter Logging-Projekt das Projekt ein, in dem Sie die Ergebnisse protokollieren möchten, oder suchen Sie nach dem Projekt.

  9. Klicken Sie auf Speichern.

Google Cloud Export von nicht näher bezeichneten Security Command Center-Protokollen konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. scc-unspecified-logs-sink.
    • Sink-Ziel: Wählen Sie Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-scc-unspecified-logs.

    • Log-Filter:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Exportoptionen festlegen: Hier können Sie festlegen, dass alle Logeinträge exportiert werden.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Konfigurieren Sie einen Feed in Google SecOps, um Google Cloud nicht näher bezeichnete Security Command Center-Logs aufzunehmen.

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Google Cloud Security Command Center – Nicht näher bezeichnete Protokolle.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie als Protokolltyp die Option Security Command Center – Nicht spezifiziert aus.
  6. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-scc-unspecified-logs.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

    • Asset-Namespace: der Asset-Namespace.

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
canonicalName read_only_udm.target.resource_ancestors.name Direkt aus dem Rohlogfeld canonicalName zugeordnet. Dies ist der übergeordnete Knoten der Zielressource.
Kategorie read_only_udm.metadata.product_event_type Direkt aus dem Rohlogfeld category zugeordnet.
Kategorie read_only_udm.metadata.event_type Abgeleitet aus dem Feld category. Wenn die Kategorie OPEN_FIREWALL ist und bestimmte Bedingungen erfüllt sind, wird sie SCAN_VULN_HOST zugeordnet. Andernfalls wird standardmäßig GENERIC_EVENT verwendet.
Kategorie read_only_udm.security_result.category Wird aus dem Rohprotokollfeld category zugeordnet. Wenn die Kategorie OPEN_FIREWALL ist, wird sie POLICY_VIOLATION zugeordnet.
complies.ids read_only_udm.additional.fields.value.string_value Direkt aus dem Rohlogfeld complies.ids zugeordnet. Stellt die Compliance-ID dar.
complies.standard read_only_udm.additional.fields.value.string_value Direkt aus dem Rohlogfeld complies.standard zugeordnet. Stellt den Compliance-Standard dar.
complies.standard read_only_udm.about.labels.value Direkt aus dem Rohlogfeld complies.standard zugeordnet. Stellt den Compliance-Standard dar.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Direkt aus dem Rohlogfeld contacts.security.contacts.email zugeordnet. Die E-Mail-Adresse des Sicherheitskontakts.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Direkt aus dem Rohlogfeld contacts.technical.contacts.email zugeordnet. Die E-Mail-Adresse des technischen Kontakts.
createTime read_only_udm.security_result.detection_fields.value Direkt aus dem Rohlogfeld createTime zugeordnet.
eventTime read_only_udm.metadata.event_timestamp Wird direkt aus dem Rohprotokollfeld eventTime nach der Umwandlung in einen Zeitstempel zugeordnet.
externalUri read_only_udm.about.url Direkt aus dem Rohlogfeld externalUri zugeordnet.
mute read_only_udm.security_result.detection_fields.value Direkt aus dem Rohlogfeld mute zugeordnet.
muteInitiator read_only_udm.security_result.detection_fields.value Direkt aus dem Rohlogfeld muteInitiator zugeordnet.
muteUpdateTime read_only_udm.security_result.detection_fields.value Direkt aus dem Rohlogfeld muteUpdateTime zugeordnet.
Name read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld name zugeordnet. Diese wird als ID der Fundstelle verwendet.
Übergeordnetes Element read_only_udm.target.resource_ancestors.name Direkt aus dem Rohlogfeld parent zugeordnet.
parentDisplayName read_only_udm.metadata.description Direkt aus dem Rohlogfeld parentDisplayName zugeordnet.
resourceName read_only_udm.target.resource.name Direkt aus dem Rohlogfeld resourceName zugeordnet.
die Ausprägung read_only_udm.security_result.severity Direkt aus dem Rohlogfeld severity zugeordnet.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceDisplayName zugeordnet.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceProperties.AllowedIpRange zugeordnet.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol zugeordnet.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports zugeordnet.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceProperties.ReactivationCount zugeordnet.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Direkt aus dem Rohlogfeld sourceProperties.ResourcePath zugeordnet. Die Werte werden zu einem einzelnen String verkettet.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Direkt aus dem Rohlogfeld sourceProperties.ScannerName zugeordnet.
sourceProperties.ScannerName read_only_udm.principal.labels.value Direkt aus dem Rohlogfeld sourceProperties.ScannerName zugeordnet.
Status read_only_udm.security_result.detection_fields.value Direkt aus dem Rohlogfeld state zugeordnet.
read_only_udm.metadata.log_type Im Parsercode auf GCP_SECURITYCENTER_UNSPECIFIED hartcodiert.
read_only_udm.metadata.product_log_id Wird aus dem Feld name extrahiert, das die Ergebnis-ID darstellt.
read_only_udm.metadata.product_name Im Parsercode auf Security Command Center hartcodiert.
read_only_udm.metadata.vendor_name Im Parsercode auf Google hartcodiert.
read_only_udm.security_result.about.investigation.status Im Parsercode auf NEW hartcodiert.
read_only_udm.security_result.alert_state Im Parsercode auf NOT_ALERTING hartcodiert.
read_only_udm.security_result.url_back_to_product Sie werden im Parsercode im Format https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id} erstellt.
read_only_udm.target.resource.product_object_id Wird aus dem Feld parent im Rohprotokoll extrahiert und entspricht der Quell-ID.
read_only_udm.target.resource.resource_type Im Parsercode auf CLUSTER festlegen.
read_only_udm.target.resource_ancestors.resource_type Im Parsercode auf CLOUD_PROJECT hartcodiert.
read_only_udm.target.resource_ancestors.name Wird aus dem Feld resourceName im Rohprotokoll extrahiert und entspricht der Projekt-ID.
read_only_udm.additional.fields.key Es werden mehrere Instanzen mit hartcodierten Schlüsseln erstellt: compliances_id_0_0, compliances_standard_0, sourceProperties_ScannerName.
read_only_udm.about.labels.key Im Parsercode hartcodiert auf compliances_standard und compliances_id.
read_only_udm.principal.labels.key Im Parsercode auf sourceProperties_ScannerName hartcodiert.
read_only_udm.target.resource.attribute.labels.key Es werden mehrere Instanzen mit hartcodierten Schlüsseln erstellt: finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol, sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Es werden zwei Instanzen erstellt, eine mit dem Wert Security und die andere mit Technical, basierend auf dem Feld contacts im Rohprotokoll.
read_only_udm.security_result.detection_fields.key Es werden mehrere Instanzen mit hartcodierten Schlüsseln erstellt: mute, mute_update_time, mute_initiator, createTime, state.

Änderungen

2023-05-01

  • Der Parser wurde aktualisiert, um zusätzliche Zuordnungen für Labels zu verarbeiten, die nicht mehr verwendet werden (veraltet).

2023-11-29

  • Die Zuordnungen für principal/target.hostname und principal/target.asset.hostname wurden angepasst, damit sie auf die gleiche Weise funktionieren.

2023-05-02

  • Der Parser erstellt jetzt eine korrekt formatierte Webadresse (URL) für das Feld security_result.url_back_to_product im UDM.

2023-04-12

  • Der GCP_SECURITYCENTER_UNSPECIFIED-Parser ist jetzt standardmäßig aktiviert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten