Collecter les journaux non spécifiés de Security Command Center

Compatible avec :

Ce document explique comment exporter et ingérer des journaux non spécifiés Security Command Center dans Google Security Operations à l'aide de Cloud Storage. L'analyseur transforme les résultats de sécurité bruts au format JSON en un modèle de données unifié (UDM). Il gère spécifiquement les incohérences dans la structure des données d'entrée, extrait les champs pertinents tels que les détails des failles et les informations utilisateur, et enrichit la sortie avec des libellés et des métadonnées pour améliorer l'analyse et la corrélation.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Security Command Center est activé et configuré dans votre environnement Google Cloud .
  • Instance Google SecOps.
  • Accès privilégié à Security Command Center et Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-scc-unspecified-logs).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer la journalisation Security Command Center

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Security Command Center.

    Accéder à Security Command Center

  3. Sélectionnez votre organisation.

  4. Cliquez sur Paramètres.

  5. Cliquez sur l'onglet Exportations continues.

  6. Sous Nom de l'exportation, cliquez sur Exportation Logging.

  7. Sous Récepteurs, activez l'option Consigner les résultats dans Logging.

  8. Sous Projet Logging, saisissez ou recherchez le projet dans lequel vous souhaitez consigner les résultats.

  9. Cliquez sur Enregistrer.

Configurer l'exportation des journaux non spécifiés de Security Command Center

  1. Connectez-vous à la consoleGoogle Cloud .
  2. Accédez à Logging> Routeur de journaux.
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants :

    • Nom du récepteur : saisissez un nom explicite (par exemple, scc-unspecified-logs-sink).
    • Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI de votre bucket (par exemple, gs://gcp-scc-unspecified-logs).

    • Filtre de journaux :

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Définir les options d'exportation : incluez toutes les entrées de journal.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration> IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin sur le bucket.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux non spécifiés Security Command Center).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez Security Command Center (non spécifié) comme Type de journal.
  7. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-scc-unspecified-logs).
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-scc-unspecified-logs).
  • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
canonicalName read_only_udm.target.resource_ancestors.name Mappé directement à partir du champ de journal brut canonicalName. Il s'agit de l'ancêtre de la ressource cible.
category read_only_udm.metadata.product_event_type Mappé directement à partir du champ de journal brut category.
category read_only_udm.metadata.event_type Dérivé du champ category. Si la catégorie est OPEN_FIREWALL et que certaines conditions sont remplies, elle est associée à SCAN_VULN_HOST. Sinon, la valeur par défaut est GENERIC_EVENT.
category read_only_udm.security_result.category Mappé à partir du champ de journal brut category. Si la catégorie est OPEN_FIREWALL, elle est mappée sur POLICY_VIOLATION.
complies.ids read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut complies.ids. Représente l'ID de conformité.
complies.standard read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut complies.standard. Représente la norme de conformité.
complies.standard read_only_udm.about.labels.value Mappé directement à partir du champ de journal brut complies.standard. Représente la norme de conformité.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Mappé directement à partir du champ de journal brut contacts.security.contacts.email. Représente l'adresse e-mail du contact de sécurité.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Mappé directement à partir du champ de journal brut contacts.technical.contacts.email. Représente l'adresse e-mail du contact technique.
Date et heure de création read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut createTime.
eventTime read_only_udm.metadata.event_timestamp Directement mappé à partir du champ de journal brut eventTime après conversion en code temporel.
externalUri read_only_udm.about.url Mappé directement à partir du champ de journal brut externalUri.
mute read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut mute.
muteInitiator read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut muteInitiator.
muteUpdateTime read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut muteUpdateTime.
nom read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut name. Il sera utilisé comme ID de résultat.
parent read_only_udm.target.resource_ancestors.name Mappé directement à partir du champ de journal brut parent.
parentDisplayName read_only_udm.metadata.description Mappé directement à partir du champ de journal brut parentDisplayName.
resourceName read_only_udm.target.resource.name Mappé directement à partir du champ de journal brut resourceName.
de gravité, read_only_udm.security_result.severity Mappé directement à partir du champ de journal brut severity.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceDisplayName.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.AllowedIpRange.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ReactivationCount.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ResourcePath. Les valeurs sont concaténées en une seule chaîne.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Mappé directement à partir du champ de journal brut sourceProperties.ScannerName.
sourceProperties.ScannerName read_only_udm.principal.labels.value Mappé directement à partir du champ de journal brut sourceProperties.ScannerName.
state read_only_udm.security_result.detection_fields.value Mappé directement à partir du champ de journal brut state.
read_only_udm.metadata.log_type Codé en dur sur GCP_SECURITYCENTER_UNSPECIFIED dans le code du parseur.
read_only_udm.metadata.product_log_id Extrait du champ name, qui représente l'ID du résultat.
read_only_udm.metadata.product_name Codé en dur sur Security Command Center dans le code du parseur.
read_only_udm.metadata.vendor_name Codé en dur sur Google dans le code du parseur.
read_only_udm.security_result.about.investigation.status Codé en dur sur NEW dans le code du parseur.
read_only_udm.security_result.alert_state Codé en dur sur NOT_ALERTING dans le code du parseur.
read_only_udm.security_result.url_back_to_product Construit dans le code de l'analyseur à l'aide du format https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}.
read_only_udm.target.resource.product_object_id Extrait du champ parent du journal brut, représentant l'ID source.
read_only_udm.target.resource.resource_type Définissez sur CLUSTER dans le code du parseur.
read_only_udm.target.resource_ancestors.resource_type Codé en dur sur CLOUD_PROJECT dans le code du parseur.
read_only_udm.target.resource_ancestors.name Extrait du champ resourceName du journal brut, représentant l'ID du projet.
read_only_udm.additional.fields.key Plusieurs instances sont créées avec des clés codées en dur : compliances_id_0_0, compliances_standard_0, sourceProperties_ScannerName.
read_only_udm.about.labels.key Codé en dur sur compliances_standard et compliances_id dans le code de l'analyseur.
read_only_udm.principal.labels.key Codé en dur sur sourceProperties_ScannerName dans le code du parseur.
read_only_udm.target.resource.attribute.labels.key Plusieurs instances sont créées avec des clés codées en dur : finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol, sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Deux instances sont créées, l'une avec la valeur Security et l'autre avec Technical, en fonction du champ contacts dans le journal brut.
read_only_udm.security_result.detection_fields.key Plusieurs instances sont créées avec des clés codées en dur : mute, mute_update_time, mute_initiator, createTime, state.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.