Collecter Google Cloud Journaux de calcul

Compatible avec :

Ce document explique comment configurer l'exportation des journaux Compute vers Google Security Operations à l'aide de Cloud Storage. Google Cloud L'analyseur extrait les champs, normalise le champ de message et mappe les données extraites au schéma UDM (Unified Data Model) pour une représentation cohérente des événements de sécurité. Il gère différents formats de journaux, y compris les messages de type syslog et les paires clé-valeur, et catégorise les événements en fonction des champs extraits tels que type et action.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Compute est configuré et actif dans votre environnement Google Cloud .
  • Accès privilégié à Google Cloud.

Créer un bucket Google Cloud Storage

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, compute-logs).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

        1. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
        2. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

        1. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
        1. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux de calcul Google Cloud

  1. Dans la consoleGoogle Cloud , accédez à Logging > Routeur de journaux.
  2. Cliquez sur Créer un récepteur.

  3. Spécifiez les informations suivantes :

    • Nom du récepteur : donnez un nom explicite, par exemple Compute-Logs-Sink.
    • Destination du récepteur : sélectionnez Cloud Storage .
    • Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI du bucket, par exemple gs://<your-bucket-name>/compute-logs.

    • Filtre de journaux : définissez des filtres pour capturer les journaux de Google Cloud Compute comme suit :

      • Nom et type du journal :

        logName="*compute*"

      • Champs liés au réseau (comme les adresses IP et les ports) :

        jsonPayload.connection.dest_ip="*" OR jsonPayload.connection.src_ip="*"

      • Détails de l'instance :

        jsonPayload.dest_instance.project_id="*"
jsonPayload.src_instance.project_id="*"

      • Informations liées à la sécurité :

        jsonPayload.rule_details.action="ALLOW" OR jsonPayload.rule_details.action="BLOCK"

  4. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM > IAM et administration > Comptes de service.
  2. Recherchez le compte de service Cloud Logging (par exemple, service-account@logging.iam.gserviceaccount.com).
  3. Attribuez-lui le rôle roles/storage.admin sur le bucket.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Google Cloud Journaux de calcul).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez GCP Compute comme type de journal.
  7. Cliquez sur Obtenir un compte de service en tant que compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket Storage : URL du bucket Storage au format gs://my-bucket/<value>. Google Cloud
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket Storage : URL du bucket Storage au format gs://my-bucket/<value>. Google Cloud
  • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ du journal Mappage UDM Logique
addr read_only_udm.principal.ip Fusionné dans la liste des adresses IP principales si le champ n'est pas vide ou si la valeur est "?".
jsonPayload.connection.dest_ip read_only_udm.target.ip Fusionné dans la liste d'adresses IP cibles si le champ existe.
jsonPayload.connection.dest_port read_only_udm.target.port Converti en chaîne, puis en entier et mappé si aucune erreur ne se produit lors de la conversion.
jsonPayload.connection.protocol read_only_udm.network.ip_protocol Converti en chaîne, puis en entier. Permet de déterminer le protocole IP (TCP, UDP, etc.) à l'aide d'une table de recherche et d'effectuer le mappage si aucune erreur ne se produit lors de la conversion.
jsonPayload.connection.src_ip read_only_udm.principal.ip Fusionné dans la liste des adresses IP principales si le champ existe.
jsonPayload.connection.src_port read_only_udm.principal.port Converti en chaîne, puis en entier et mappé si aucune erreur ne se produit lors de la conversion.
jsonPayload.dest_instance.project_id read_only_udm.target.resource.product_object_id Mappé de manière conditionnelle si jsonPayload.dest_vpc.project_id existe.
jsonPayload.dest_instance.region read_only_udm.target.location.name Mappé de manière conditionnelle si jsonPayload.dest_vpc.project_id existe.
jsonPayload.dest_instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name Mappé de manière conditionnelle si jsonPayload.dest_vpc.project_id existe.
jsonPayload.dest_instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone Mappé de manière conditionnelle si jsonPayload.dest_vpc.project_id existe.
jsonPayload.dest_vpc.project_id read_only_udm.target.cloud.vpc.product_object_id Utilisée comme condition pour mapper les champs associés.
jsonPayload.dest_vpc.subnetwork_name read_only_udm.target.cloud.vpc.name Mappé de manière conditionnelle si jsonPayload.dest_vpc.project_id existe.
jsonPayload.instance.project_id read_only_udm.target.resource.product_object_id Mappé de manière conditionnelle si jsonPayload.instance.project_id existe.
jsonPayload.instance.region read_only_udm.target.location.name Mappé de manière conditionnelle si jsonPayload.instance.project_id existe.
jsonPayload.instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name Mappé de manière conditionnelle si jsonPayload.instance.project_id existe.
jsonPayload.instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone Mappé de manière conditionnelle si jsonPayload.instance.project_id existe.
jsonPayload.message read_only_udm.metadata.product_event_type, read_only_udm.principal.application, read_only_udm.target.process.pid, read_only_udm.target.user.userid, read_only_udm.principal.hostname, read_only_udm.target.process.command_line, read_only_udm.security_result.description, read_only_udm.principal.process.file.full_path Analysées et mappées à différents champs en fonction des modèles Grok et de la logique conditionnelle.
jsonPayload.rule_details.action read_only_udm.security_result.action Utilisé pour déterminer l'action du résultat de sécurité (AUTORISER/BLOQUER) et mappé.
jsonPayload.rule_details.direction read_only_udm.network.direction Utilisé pour déterminer la direction du réseau (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) et mappé.
jsonPayload.rule_details.priority read_only_udm.security_result.priority_details Converti en chaîne et mappé si aucune erreur ne se produit lors de la conversion.
jsonPayload.rule_details.reference read_only_udm.security_result.rule_labels.value Correspond à la valeur du libellé de la règle.
jsonPayload.src_instance.project_id read_only_udm.principal.resource.product_object_id Mappé de manière conditionnelle si jsonPayload.src_vpc.project_id existe.
jsonPayload.src_instance.region read_only_udm.principal.location.name Mappé de manière conditionnelle si jsonPayload.src_vpc.project_id existe.
jsonPayload.src_instance.vm_name read_only_udm.principal.resource.attribute.cloud.project.name Mappé de manière conditionnelle si jsonPayload.src_vpc.project_id existe.
jsonPayload.src_instance.zone read_only_udm.principal.resource.attribute.cloud.availability_zone Mappé de manière conditionnelle si jsonPayload.src_vpc.project_id existe.
jsonPayload.src_vpc.project_id read_only_udm.principal.cloud.vpc.product_object_id Utilisée comme condition pour mapper les champs associés.
jsonPayload.src_vpc.subnetwork_name read_only_udm.principal.cloud.vpc.name Mappé de manière conditionnelle si jsonPayload.src_vpc.project_id existe.
jsonPayload.vpc.project_id read_only_udm.target.cloud.vpc.product_object_id Mappé de manière conditionnelle si jsonPayload.vpc.project_id existe.
jsonPayload.vpc.subnetwork_name read_only_udm.target.cloud.vpc.name Mappé de manière conditionnelle si jsonPayload.vpc.project_id existe.
logName read_only_udm.security_result.category_details Mappé directement.
resource.labels.instance_id read_only_udm.principal.resource.product_object_id, read_only_udm.principal.asset_id Mappé sous conditions. Si le type est "PROCTITLE", il est utilisé pour créer l'ID de l'asset.
resource.labels.location read_only_udm.principal.location.name Mappé de manière conditionnelle si le champ existe.
resource.labels.project_id read_only_udm.metadata.product_deployment_id Mappé de manière conditionnelle si le champ existe.
resource.labels.zone read_only_udm.principal.resource.attribute.cloud.availability_zone Mappé de manière conditionnelle si le champ existe.
resource.type read_only_udm.metadata.event_type Utilisé pour déterminer le type d'événement et mappé.
timestamp read_only_udm.metadata.event_timestamp Mappé directement.
type read_only_udm.metadata.product_event_type, read_only_udm.metadata.event_type, read_only_udm.extensions.auth.type Utilisé pour déterminer le type d'événement, le type d'événement produit et le type d'authentification, et mappé en conséquence.
read_only_udm.metadata.event_type La logique définit le type d'événement en fonction du champ "type" et d'autres conditions. Si aucune correspondance spécifique n'est trouvée, la valeur par défaut est "GENERIC_EVENT".
read_only_udm.metadata.log_type Valeur constante "GCP_COMPUTE".
read_only_udm.metadata.vendor_name Valeur constante "Google Cloud Platform".
read_only_udm.metadata.product_name Valeur constante "Google Cloud Platform".
read_only_udm.security_result.rule_labels.key Valeur constante "Référence".
read_only_udm.target.cloud.vpc.resource_type Défini sur "VPC_NETWORK" si jsonPayload.instance.project_id ou jsonPayload.dest_vpc.project_id existe.
read_only_udm.target.resource.attribute.cloud.environment Défini de manière conditionnelle sur "GOOGLE_CLOUD_PLATFORM" si jsonPayload.instance.project_id, jsonPayload.dest_vpc.project_id ou jsonPayload.src_vpc.project_id existe.
read_only_udm.principal.administrative_domain Mappé à partir du champ "Domaine du compte" extrait du champ "kv_data".
read_only_udm.principal.user.user_display_name Mappé à partir du champ "Nom du compte" extrait du champ "kv_data".
read_only_udm.target.resource.name Mappé à partir du champ "Nom de l'objet" extrait du champ "kv_data".
read_only_udm.target.resource.type Mappé à partir du champ "Type d'objet" extrait du champ "kv_data".
read_only_udm.principal.process.pid Mappé à partir du champ "ID de processus" extrait du champ "kv_data".
read_only_udm.target.user.windows_sid Mappé à partir du champ "ID de sécurité" extrait du champ "kv_data".
read_only_udm.network.session_id Mappé à partir du champ "auid".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.