Mengumpulkan log Tidak ditentukan Cloud Security Command Center

Didukung di:

Dokumen ini menjelaskan cara mengekspor dan menyerap log Tidak Ditentukan Security Command Center ke Google Security Operations menggunakan Cloud Storage. Parser mengubah temuan keamanan berformat JSON mentah menjadi model data terpadu (UDM). Alat ini secara khusus menangani inkonsistensi dalam struktur data input, mengekstrak kolom yang relevan seperti detail kerentanan dan informasi pengguna, serta memperkaya output dengan label dan metadata untuk analisis dan korelasi yang lebih baik.

Sebelum memulai

  • Pastikan Google Cloud Security Command Center diaktifkan dan dikonfigurasi di lingkungan Google Cloud Anda.
  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Security Command Center dan Cloud Logging.

Membuat bucket Cloud Storage

  1. Login ke konsol Google Cloud.

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-scc-unspecified-logs.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Location tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
      2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.

  5. Klik Buat.

Mengonfigurasi logging Security Command Center

  1. Login ke konsol Google Cloud.

  2. Buka halaman Security Command Center.

    Buka Security Command Center

  3. Pilih organisasi Anda.

  4. Klik Setelan.

  5. Klik tab Ekspor Berkelanjutan.

  6. Di bagian Nama ekspor, klik Logging Export.

  7. Di bagian Sink, aktifkan Log Findings to Logging.

  8. Di bagian Logging project, masukkan atau telusuri project tempat Anda ingin mencatat temuan.

  9. Klik Simpan.

Mengonfigurasi Google Cloud Ekspor Log yang Tidak Ditetapkan Security Command Center

  1. Login ke konsol Google Cloud.
  2. Buka Logging > Router Log.
  3. Klik Create Sink.

  4. Berikan parameter konfigurasi berikut:

    • Sink Name: masukkan nama yang bermakna; misalnya, scc-unspecified-logs-sink.
    • Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-scc-unspecified-logs.

    • Filter Log:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Setel Opsi Ekspor: Menyertakan semua entri log.

  5. Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

  1. Buka IAM & Admin > IAM.
  2. Temukan akun layanan Cloud Logging.
  3. Berikan roles/storage.admin di bucket.

Mengonfigurasi feed di Google SecOps untuk menyerap Google Cloud log Security Command Center yang Tidak Ditentukan

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Google Cloud Security Command Center Unspecified logs.
  4. Pilih Google Cloud Storage sebagai Source type.
  5. Pilih Security Command Center Unspecified sebagai Log type.
  6. Klik Dapatkan Akun Layanan di samping kolom Chronicle Service Account.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Storage Bucket URI: URL bucket Cloud Storage; misalnya, gs://gcp-scc-unspecified-logs.
    • URI Adalah: pilih Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
canonicalName read_only_udm.target.resource_ancestors.name Dipetakan langsung dari kolom log mentah canonicalName. Ini mewakili ancestor resource target.
kategori read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom log mentah category.
kategori read_only_udm.metadata.event_type Berasal dari kolom category. Jika kategorinya adalah OPEN_FIREWALL dan kondisi tertentu terpenuhi, kategori tersebut akan dipetakan ke SCAN_VULN_HOST. Jika tidak, setelan defaultnya adalah GENERIC_EVENT.
kategori read_only_udm.security_result.category Dipetakan dari kolom log mentah category. Jika kategorinya adalah OPEN_FIREWALL, kategori tersebut akan dipetakan ke POLICY_VIOLATION.
complies.ids read_only_udm.additional.fields.value.string_value Dipetakan langsung dari kolom log mentah complies.ids. Merepresentasikan ID kepatuhan.
complies.standard read_only_udm.additional.fields.value.string_value Dipetakan langsung dari kolom log mentah complies.standard. Merepresentasikan standar kepatuhan.
complies.standard read_only_udm.about.labels.value Dipetakan langsung dari kolom log mentah complies.standard. Merepresentasikan standar kepatuhan.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Dipetakan langsung dari kolom log mentah contacts.security.contacts.email. Merepresentasikan alamat email kontak keamanan.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Dipetakan langsung dari kolom log mentah contacts.technical.contacts.email. Merepresentasikan alamat email kontak teknis.
createTime read_only_udm.security_result.detection_fields.value Dipetakan langsung dari kolom log mentah createTime.
eventTime read_only_udm.metadata.event_timestamp Dipetakan langsung dari kolom log mentah eventTime setelah dikonversi menjadi stempel waktu.
externalUri read_only_udm.about.url Dipetakan langsung dari kolom log mentah externalUri.
mute read_only_udm.security_result.detection_fields.value Dipetakan langsung dari kolom log mentah mute.
muteInitiator read_only_udm.security_result.detection_fields.value Dipetakan langsung dari kolom log mentah muteInitiator.
muteUpdateTime read_only_udm.security_result.detection_fields.value Dipetakan langsung dari kolom log mentah muteUpdateTime.
nama read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah name. Nama ini akan digunakan sebagai ID temuan.
parent read_only_udm.target.resource_ancestors.name Dipetakan langsung dari kolom log mentah parent.
parentDisplayName read_only_udm.metadata.description Dipetakan langsung dari kolom log mentah parentDisplayName.
resourceName read_only_udm.target.resource.name Dipetakan langsung dari kolom log mentah resourceName.
tingkat keseriusan, read_only_udm.security_result.severity Dipetakan langsung dari kolom log mentah severity.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceDisplayName.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.AllowedIpRange.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.ReactivationCount.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.ResourcePath. Nilai digabungkan menjadi satu string.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Dipetakan langsung dari kolom log mentah sourceProperties.ScannerName.
sourceProperties.ScannerName read_only_udm.principal.labels.value Dipetakan langsung dari kolom log mentah sourceProperties.ScannerName.
state read_only_udm.security_result.detection_fields.value Dipetakan langsung dari kolom log mentah state.
read_only_udm.metadata.log_type Di-hardcode ke GCP_SECURITYCENTER_UNSPECIFIED dalam kode parser.
read_only_udm.metadata.product_log_id Diekstrak dari kolom name, yang mewakili ID temuan.
read_only_udm.metadata.product_name Di-hardcode ke Security Command Center dalam kode parser.
read_only_udm.metadata.vendor_name Di-hardcode ke Google dalam kode parser.
read_only_udm.security_result.about.investigation.status Di-hardcode ke NEW dalam kode parser.
read_only_udm.security_result.alert_state Di-hardcode ke NOT_ALERTING dalam kode parser.
read_only_udm.security_result.url_back_to_product Dibuat dalam kode parser menggunakan format: https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}.
read_only_udm.target.resource.product_object_id Diekstrak dari kolom parent dalam log mentah, yang mewakili ID sumber.
read_only_udm.target.resource.resource_type Tetapkan ke CLUSTER dalam kode parser.
read_only_udm.target.resource_ancestors.resource_type Di-hardcode ke CLOUD_PROJECT dalam kode parser.
read_only_udm.target.resource_ancestors.name Diekstrak dari kolom resourceName dalam log mentah, yang mewakili project ID.
read_only_udm.additional.fields.key Beberapa instance dibuat dengan kunci hardcode: compliances_id_0_0, compliances_standard_0, sourceProperties_ScannerName.
read_only_udm.about.labels.key Di-hardcode ke compliances_standard dan compliances_id dalam kode parser.
read_only_udm.principal.labels.key Di-hardcode ke sourceProperties_ScannerName dalam kode parser.
read_only_udm.target.resource.attribute.labels.key Beberapa instance dibuat dengan kunci hardcode: finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol, sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Dua instance dibuat, satu dengan nilai Security dan yang lainnya dengan Technical, berdasarkan kolom contacts dalam log mentah.
read_only_udm.security_result.detection_fields.key Beberapa instance dibuat dengan kunci hardcode: mute, mute_update_time, mute_initiator, createTime, state.

Perubahan

2023-05-01

  • Parser diperbarui untuk menangani pemetaan tambahan untuk label yang tidak lagi digunakan (tidak digunakan lagi).

2023-11-29

  • Pemetaan untuk principal/target.hostname dan principal/target.asset.hostname disesuaikan agar berfungsi dengan cara yang sama.

2023-05-02

  • Sekarang, parser membuat alamat web (URL) dengan format yang benar untuk kolom security_result.url_back_to_product di UDM.

2023-04-12

  • Memperbarui parser GCP_SECURITYCENTER_UNSPECIFIED sebagai default.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.