收集 Security Command Center 未指定的記錄

支援的國家/地區:

本文說明如何使用 Cloud Storage,將 Security Command Center 未指定的記錄匯出及擷取至 Google Security Operations。剖析器會將原始 JSON 格式的安全發現項目轉換為統一資料模型 (UDM)。這項服務專門處理輸入資料結構的不一致問題、擷取相關欄位 (例如安全漏洞詳細資料和使用者資訊),並在輸出內容中加入標籤和中繼資料,以利進行更完善的分析和關聯性比對。

事前準備

請確認您已完成下列事前準備事項:

  • 在您的 Google Cloud 環境中啟用並設定 Security Command Center。
  • Google SecOps 執行個體。
  • 具備 Security Command Center 和 Cloud Logging 的特殊權限。

建立 Cloud Storage 值區

  1. 登入Google Cloud 控制台

  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分執行下列操作:

      1. 輸入符合值區名稱規定的專屬名稱,例如 gcp-scc-unspecified-logs

      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」

      3. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。

      4. 按一下「新增標籤」,然後指定標籤的鍵和值。

    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:

      1. 選取「位置類型」

      2. 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。

      3. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。

    3. 在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型

    5. 在「選擇保護物件資料的方式」部分,執行下列操作:

      1. 選取「資料保護」下要為值區設定的任何選項。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」

  5. 點選「建立」

設定 Security Command Center 記錄

  1. 登入Google Cloud 控制台

  2. 前往 Security Command Center 頁面。

    前往 Security Command Center

  3. 選取您的機構。

  4. 按一下「設定」

  5. 按一下「持續匯出作業」分頁標籤。

  6. 在「匯出名稱」下方,按一下「記錄匯出」

  7. 在「接收器」下方,開啟「將發現項目記錄至 Logging」

  8. 在「記錄專案」下方,輸入或搜尋要記錄調查結果的專案。

  9. 按一下 [儲存]

設定 Security Command Center 未指定記錄匯出功能

  1. 登入Google Cloud 控制台
  2. 依序前往「Logging」>「Log Router」
  3. 按一下「建立接收器」

  4. 提供下列設定參數:

    • 接收器名稱:輸入有意義的名稱,例如 scc-unspecified-logs-sink
    • 接收器目的地:選取「Cloud Storage Storage」,然後輸入值區的 URI,例如 gs://gcp-scc-unspecified-logs

    • 記錄檔篩選器

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • 設定匯出選項:納入所有記錄項目。

  5. 點選「建立」

設定 Cloud Storage 的權限

  1. 前往「IAM 與管理」>「IAM」
  2. 找到 Cloud Logging 服務帳戶。
  3. 授予值區的 roles/storage.admin

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Security Command Center Unspecified logs」
  5. 選取「Google Cloud Storage」做為「來源類型」。
  6. 選取「Security Command Center Unspecified」(未指定 Security Command Center) 做為「記錄類型」
  7. 按一下「Chronicle Service Account」(Chronicle 服務帳戶) 欄位旁的「Get Service Account」(取得服務帳戶)
  8. 點選「下一步」

  9. 指定下列輸入參數的值:

    • 儲存空間值區 URI:Cloud Storage 值區網址,例如 gs://gcp-scc-unspecified-logs
    • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)

    • 來源刪除選項:根據偏好選取刪除選項。

  10. 點選「下一步」

  11. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 儲存空間值區 URI:Cloud Storage 值區網址,例如 gs://gcp-scc-unspecified-logs
  • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)
  • 來源刪除選項:根據偏好選取刪除選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
canonicalName read_only_udm.target.resource_ancestors.name 直接從原始記錄欄位 canonicalName 對應。這代表目標資源的祖先。
category read_only_udm.metadata.product_event_type 直接從原始記錄欄位 category 對應。
category read_only_udm.metadata.event_type 衍生自「category」欄位。如果類別為 OPEN_FIREWALL 且符合特定條件,系統會將其對應至 SCAN_VULN_HOST。否則預設為 GENERIC_EVENT
category read_only_udm.security_result.category 對應自原始記錄檔欄位 category。如果類別為「OPEN_FIREWALL」,則會對應至「POLICY_VIOLATION」。
complies.ids read_only_udm.additional.fields.value.string_value 直接從原始記錄欄位 complies.ids 對應。代表法規遵循 ID。
complies.standard read_only_udm.additional.fields.value.string_value 直接從原始記錄欄位 complies.standard 對應。代表法規遵循標準。
complies.standard read_only_udm.about.labels.value 直接從原始記錄欄位 complies.standard 對應。代表法規遵循標準。
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses 直接從原始記錄欄位 contacts.security.contacts.email 對應。代表安全聯絡人的電子郵件地址。
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses 直接從原始記錄欄位 contacts.technical.contacts.email 對應。代表技術聯絡人的電子郵件地址。
createTime read_only_udm.security_result.detection_fields.value 直接從原始記錄欄位 createTime 對應。
eventTime read_only_udm.metadata.event_timestamp 轉換為時間戳記後,直接從原始記錄欄位 eventTime 對應。
externalUri read_only_udm.about.url 直接從原始記錄欄位 externalUri 對應。
靜音 read_only_udm.security_result.detection_fields.value 直接從原始記錄欄位 mute 對應。
muteInitiator read_only_udm.security_result.detection_fields.value 直接從原始記錄欄位 muteInitiator 對應。
muteUpdateTime read_only_udm.security_result.detection_fields.value 直接從原始記錄欄位 muteUpdateTime 對應。
名稱 read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 name 對應。系統會將此名稱當做發現項目 ID。
parent read_only_udm.target.resource_ancestors.name 直接從原始記錄欄位 parent 對應。
parentDisplayName read_only_udm.metadata.description 直接從原始記錄欄位 parentDisplayName 對應。
resourceName read_only_udm.target.resource.name 直接從原始記錄欄位 resourceName 對應。
嚴重性 read_only_udm.security_result.severity 直接從原始記錄欄位 severity 對應。
sourceDisplayName read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceDisplayName 對應。
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceProperties.AllowedIpRange 對應。
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol 對應。
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports 對應。
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceProperties.ReactivationCount 對應。
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value 直接從原始記錄欄位 sourceProperties.ResourcePath 對應。這些值會串連成單一字串。
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value 直接從原始記錄欄位 sourceProperties.ScannerName 對應。
sourceProperties.ScannerName read_only_udm.principal.labels.value 直接從原始記錄欄位 sourceProperties.ScannerName 對應。
state read_only_udm.security_result.detection_fields.value 直接從原始記錄欄位 state 對應。
read_only_udm.metadata.log_type 在剖析器程式碼中,硬式編碼為 GCP_SECURITYCENTER_UNSPECIFIED
read_only_udm.metadata.product_log_id 從「name」欄位擷取,代表發現項目 ID。
read_only_udm.metadata.product_name 在剖析器程式碼中,硬式編碼為 Security Command Center
read_only_udm.metadata.vendor_name 在剖析器程式碼中,硬式編碼為 Google
read_only_udm.security_result.about.investigation.status 在剖析器程式碼中,硬式編碼為 NEW
read_only_udm.security_result.alert_state 在剖析器程式碼中,硬式編碼為 NOT_ALERTING
read_only_udm.security_result.url_back_to_product 在剖析器程式碼中建構,格式為 https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}
read_only_udm.target.resource.product_object_id 從原始記錄的 parent 欄位擷取,代表來源 ID。
read_only_udm.target.resource.resource_type 在剖析器程式碼中設為 CLUSTER
read_only_udm.target.resource_ancestors.resource_type 在剖析器程式碼中,硬式編碼為 CLOUD_PROJECT
read_only_udm.target.resource_ancestors.name 從原始記錄的 resourceName 欄位擷取,代表專案 ID。
read_only_udm.additional.fields.key 使用硬式編碼鍵建立多個例項:compliances_id_0_0compliances_standard_0sourceProperties_ScannerName
read_only_udm.about.labels.key 在剖析器程式碼中,以硬式編碼方式設為 compliances_standardcompliances_id
read_only_udm.principal.labels.key 在剖析器程式碼中,硬式編碼為 sourceProperties_ScannerName
read_only_udm.target.resource.attribute.labels.key 使用硬式編碼鍵建立多個執行個體:finding_idsource_idsourceProperties_ResourcePathsourceDisplayNamesourceProperties_ReactivationCountsourceProperties_AllowedIpRangesourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocolsourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
read_only_udm.security_result.about.user.attribute.roles.name 系統會根據原始記錄中的 contacts 欄位,建立兩個例項,一個的值為 Security,另一個的值為 Technical
read_only_udm.security_result.detection_fields.key 使用硬式編碼鍵建立多個例項:mutemute_update_timemute_initiatorcreateTimestate

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。