Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux du proxy Web sécurisé

Compatible avec :

Google SecOps SIEM

Ce document explique comment exporter et ingérer Secure Web Proxy dans Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait les champs des journaux JSON et les transforme en Unified Data Model (UDM). Il initialise les champs UDM, analyse la charge utile JSON, extrait les informations réseau, les détails de sécurité et les attributs de ressources, et définit le type d'événement en fonction de la présence d'informations principales et cibles.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Le proxy Web sécurisé est actif et configuré dans votre environnement Google Cloud .
Un accès privilégié à Google Cloud et les autorisations appropriées pour accéder aux journaux du proxy Web sécurisé.

Créer un bucket Cloud Storage

Connectez-vous à la consoleGoogle Cloud .
Accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :
1. Dans la section Premiers pas, procédez comme suit :
  1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-swp-logs).
  2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
    
    Remarque : Vous ne pouvez pas activer l'espace de noms hiérarchique sur un bucket existant.
  3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
  4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
  1. Sélectionnez un type d'emplacement.
  2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
    
    Remarque : Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
  3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
  
  Remarque : Si la protection contre l'accès public est déjà appliquée par la règle d'administration de votre projet, la case à cocher Empêcher l'accès public est verrouillée.
5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :
  1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
  2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.

Configurer l'exportation des journaux Secure Web Proxy

Connectez-vous à la consoleGoogle Cloud .
Accédez à Logging> Routeur de journaux.
Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants :
- Nom du récepteur : saisissez un nom explicite (par exemple, SWP-Export-Sink).
- Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI de votre bucket (par exemple, gs://gcp-swp-logs).
- Filtre de journaux :
```
logName="projects/<your-project-id>/logs/networkservices.googleapis.com/gateway_requests"
```
Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

Accédez à IAM et administration> IAM.
Recherchez le compte de service Cloud Logging.
Attribuez le rôle roles/storage.admin sur le bucket.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux SWPGoogle Cloud ).
Sélectionnez Google Cloud Storage comme Type de source.
Sélectionnez Proxy Web sécurisé GCP comme type de journal.
Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-swp-logs).
- URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
- Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
  
  Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-swp-logs).
URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`httpRequest.latency`	`additional.fields[].key` : `HTTPRequest Latency` `additional.fields[].value.string_value` : `0.124462s`	Mappé directement à partir du champ de journal brut.
`httpRequest.protocol`	`network.application_protocol` : `HTTP` `network.application_protocol_version` : `2`	Le protocole et la version sont extraits du champ `httpRequest.protocol` à l'aide d'un modèle Grok.
`httpRequest.remoteIp`	`target.asset.ip` : `1.1.0.1` `target.ip` : `1.1.0.1`	L'adresse IP est extraite du champ `httpRequest.remoteIp` à l'aide d'un modèle Grok.
`httpRequest.requestMethod`	`network.http.method` : `GET`	Mappé directement à partir du champ de journal brut.
`httpRequest.requestSize`	`network.sent_bytes` : 144	Mappé directement à partir du champ du journal brut et converti en entier.
`httpRequest.requestUrl`	`target.url` : `https://github.com/tempuslabs/tempusutils/info/refs?service=git-upload-pack`	Mappé directement à partir du champ de journal brut.
`httpRequest.responseSize`	`network.received_bytes` : 225	Mappé directement à partir du champ du journal brut et converti en entier.
`httpRequest.serverIp`	`principal.asset.ip` : `1.8.1.4` `principal.ip` : `1.8.1.4`	L'adresse IP est extraite du champ `httpRequest.serverIp` à l'aide d'un modèle Grok.
`httpRequest.status`	`network.http.response_code` : 401	Mappé directement à partir du champ du journal brut et converti en entier.
`httpRequest.userAgent`	`network.http.user_agent`: `git/2.34.1` `network.http.parsed_user_agent`: { `family`: `USER_DEFINED`, `device`: `git`, `device_version`: `2.34.1` }	Mappé directement à partir du champ de journal brut. Le champ `parsed_user_agent` est dérivé de l'analyse du champ `httpRequest.userAgent`.
`insertId`	`metadata.product_log_id` : `1yh8wczer5o8n`	Mappé directement à partir du champ de journal brut.
`jsonPayload.@type`	`additional.fields[].key` : `Log Type` `additional.fields[].value.string_value` : `type.googleapis.com/google.cloud.loadbalancing.type.LoadBalancerLogEntry`	Mappé directement à partir du champ de journal brut.
`jsonPayload.enforcedGatewaySecurityPolicy.hostname`	`target.asset.hostname` : `github.com` `target.hostname` : `github.com`	Mappé directement à partir du champ de journal brut.
`jsonPayload.enforcedGatewaySecurityPolicy.matchedRules[].action`	`security_result.action` : `ALLOW` `security_result.action_details` : `ALLOWED`	`security_result.action` est dérivé en fonction de la valeur de `jsonPayload.enforcedGatewaySecurityPolicy.matchedRules[].action`. Si l'action est `ALLOWED`, le champ UDM est défini sur `ALLOW`. Si l'action est `DENIED`, le champ UDM est défini sur `BLOCK`.
`jsonPayload.enforcedGatewaySecurityPolicy.matchedRules[].name`	`security_result.rule_name` : `projects/671807354785/locations/us-central1/gatewaySecurityPolicies/github-access-gateway-security-policy-5cec30cd/rules/github-access-gateway-security-policy-rule-5cec30cd`	Mappé directement à partir du champ de journal brut.
`jsonPayload.enforcedGatewaySecurityPolicy.requestWasTlsIntercepted`	`security_result.detection_fields[].key` : `requestWasTlsIntercepted` `security_result.detection_fields[].value` : `true`	Mappé directement à partir du champ de journal brut.
`logName`	`additional.fields[].key` : `Log Name` `additional.fields[].value.string_value` : `projects/rws-w6uza3pn5jzzh6z3hc3d/logs/networkservices.googleapis.com%2Fgateway_requests`	Mappé directement à partir du champ de journal brut.
`receiveTimestamp`	`metadata.collected_timestamp`: { `seconds`: 1710189647, `nanos`: 661101224 }	Analysé à partir du champ de journal brut à l'aide du format de date RFC 3339.
`resource.labels.gateway_name`	`security_result.detection_fields[].key` : `gateway-name` `security_result.detection_fields[].value` : `github-access-gateway-5cec30cd`	Mappé directement à partir du champ de journal brut.
`resource.labels.gateway_type`	`security_result.detection_fields[].key` : `gateway-type` `security_result.detection_fields[].value` : `SECURE_WEB_GATEWAY`	Mappé directement à partir du champ de journal brut.
`resource.labels.location`	`target.resource.attribute.cloud.availability_zone` : `us-central1`	Mappé directement à partir du champ de journal brut.
`resource.labels.network_name`	`target.resource.attribute.labels[].key` : `rc_network_name` `target.resource.attribute.labels[].value` : `projects/rws-w6uza3pn5jzzh6z3hc3d/global/networks/rws-tr-pilot-workspace`	Mappé directement à partir du champ de journal brut.
`resource.type`	`target.resource.attribute.labels[].key` : `Resource Type` `target.resource.attribute.labels[].value` : `networkservices.googleapis.com/Gateway`	Mappé directement à partir du champ de journal brut.
`severity`	`security_result.severity` : `MEDIUM`	Mappé à partir du champ de journal brut. La valeur est traduite en un niveau de gravité UDM. Dans ce cas, `WARNING` est mappé sur `MEDIUM`.
`timestamp`	`metadata.event_timestamp`: { `seconds`: 1710189639, `nanos`: 952848000 }	Analysé à partir du champ de journal brut à l'aide du format de date RFC 3339.
(Logique de l'analyseur)	`metadata.event_type` : `NETWORK_HTTP`	Déterminé par la logique de l'analyseur en fonction de la présence de `has_principal`, `has_target` et d'un protocole correspondant à `http`.
(Logique de l'analyseur)	`metadata.log_type` : `GCP_SWP`	Valeur codée en dur en fonction du produit.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.