Collecter les journaux non spécifiés de Cloud Security Command Center

Compatible avec:

Ce document explique comment exporter et ingérer les journaux non spécifiés de Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les résultats de sécurité au format JSON brut en modèle de données unifié (UDM). Il gère spécifiquement les incohérences dans la structure des données d'entrée, extrait les champs pertinents tels que les informations sur les failles et les informations utilisateur, et enrichit la sortie avec des libellés et des métadonnées pour améliorer l'analyse et la corrélation.

Avant de commencer

  • Assurez-vous que Google Cloud Security Command Center est activé et configuré dans votre Google Cloud environnement.
  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous d'avoir un accès privilégié à Security Command Center et à Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple gcp-scc-unspecified-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer la journalisation de Security Command Center

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Security Command Center.

    Accéder à Security Command Center

  3. Sélectionnez votre organisation.

  4. Cliquez sur Paramètres.

  5. Cliquez sur l'onglet Exportations continues.

  6. Sous Nom de l'exportation, cliquez sur Exportation des journaux.

  7. Sous Récepteurs, activez l'option Consigner les résultats dans Logging.

  8. Sous Projet de journalisation, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

  9. Cliquez sur Enregistrer.

Configurer Google Cloud Exportation des journaux non spécifiés de Security Command Center

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, scc-unspecified-logs-sink).
    • Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-unspecified-logs).

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Définir les options d'exportation: inclut toutes les entrées de journal.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurez un flux dans Google SecOps pour ingérer les Google Cloud journaux non spécifiés de Security Command Center.

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux. Par exemple, Google Cloud Journaux non spécifiés de Security Command Center.
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Security Command Center non spécifié comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-scc-unspecified-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
canonicalName read_only_udm.target.resource_ancestors.name Mappé directement à partir du champ de journal brut canonicalName. Représente l'ancêtre de la ressource cible.
category read_only_udm.metadata.product_event_type Mappé directement à partir du champ de journal brut category.
category read_only_udm.metadata.event_type Dérivé du champ category. Si la catégorie est OPEN_FIREWALL et que certaines conditions sont remplies, elle est mappée sur SCAN_VULN_HOST. Sinon, la valeur par défaut est GENERIC_EVENT.
category read_only_udm.security_result.category Mappé à partir du champ de journal brut category. Si la catégorie est OPEN_FIREWALL, elle est mappée sur POLICY_VIOLATION.
complies.ids read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut complies.ids. Représente l'ID de conformité.
complies.standard read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut complies.standard. Représente la norme de conformité.
complies.standard read_only_udm.about.labels.value Mappé directement à partir du champ de journal brut complies.standard. Représente la norme de conformité.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Mappé directement à partir du champ de journal brut contacts.security.contacts.email. Représente l'adresse e-mail du contact de sécurité.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Mappé directement à partir du champ de journal brut contacts.technical.contacts.email. Représente l'adresse e-mail du contact technique.
Date et heure de création read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut createTime.
eventTime read_only_udm.metadata.event_timestamp Mappé directement à partir du champ de journal brut eventTime après conversion en code temporel.
externalUri read_only_udm.about.url Mappé directement à partir du champ de journal brut externalUri.
mute read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut mute.
muteInitiator read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut muteInitiator.
muteUpdateTime read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut muteUpdateTime.
nom read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut name. Il sera utilisé comme ID de la recherche.
parent read_only_udm.target.resource_ancestors.name Mappé directement à partir du champ de journal brut parent.
parentDisplayName read_only_udm.metadata.description Mappé directement à partir du champ de journal brut parentDisplayName.
resourceName read_only_udm.target.resource.name Mappé directement à partir du champ de journal brut resourceName.
de gravité, read_only_udm.security_result.severity Mappé directement à partir du champ de journal brut severity.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceDisplayName.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.AllowedIpRange.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ReactivationCount.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ResourcePath. Les valeurs sont concaténées en une seule chaîne.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut sourceProperties.ScannerName.
sourceProperties.ScannerName read_only_udm.principal.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ScannerName.
state read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut state.
read_only_udm.metadata.log_type Codé en dur sur GCP_SECURITYCENTER_UNSPECIFIED dans le code de l'analyseur.
read_only_udm.metadata.product_log_id Extrait du champ name, qui représente l'ID de la recherche.
read_only_udm.metadata.product_name Codé en dur sur Security Command Center dans le code de l'analyseur.
read_only_udm.metadata.vendor_name Codé en dur sur Google dans le code de l'analyseur.
read_only_udm.security_result.about.investigation.status Codé en dur sur NEW dans le code de l'analyseur.
read_only_udm.security_result.alert_state Codé en dur sur NOT_ALERTING dans le code de l'analyseur.
read_only_udm.security_result.url_back_to_product Construit dans le code de l'analyseur au format: https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}.
read_only_udm.target.resource.product_object_id Extrait du champ parent dans le journal brut, représentant l'ID source.
read_only_udm.target.resource.resource_type Défini sur CLUSTER dans le code de l'analyseur.
read_only_udm.target.resource_ancestors.resource_type Codé en dur sur CLOUD_PROJECT dans le code de l'analyseur.
read_only_udm.target.resource_ancestors.name Extrait du champ resourceName du journal brut, représentant l'ID du projet.
read_only_udm.additional.fields.key Plusieurs instances sont créées avec des clés codées en dur: compliances_id_0_0, compliances_standard_0 et sourceProperties_ScannerName.
read_only_udm.about.labels.key Codé en dur sur compliances_standard et compliances_id dans le code de l'analyseur.
read_only_udm.principal.labels.key Codé en dur sur sourceProperties_ScannerName dans le code de l'analyseur.
read_only_udm.target.resource.attribute.labels.key Plusieurs instances sont créées avec des clés codées en dur: finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol et sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Deux instances sont créées, l'une avec la valeur Security et l'autre avec Technical, en fonction du champ contacts dans le journal brut.
read_only_udm.security_result.detection_fields.key Plusieurs instances sont créées avec des clés codées en dur: mute, mute_update_time, mute_initiator, createTime et state.

Modifications

2023-05-01

  • L'analyseur a été mis à jour pour gérer des mappages supplémentaires pour les libellés qui ne sont plus utilisés (obsolètes).

2023-11-29

  • Les mappages de principal/target.hostname et principal/target.asset.hostname ont été ajustés pour fonctionner de la même manière.

2023-05-02

  • L'analyseur crée désormais une adresse Web (URL) au format correct pour le champ security_result.url_back_to_product dans l'UDM.

2023-04-12

  • Mise à jour de l'analyseur GCP_SECURITYCENTER_UNSPECIFIED par défaut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.