收集 Google Cloud 運算記錄

支援的國家/地區:

本文說明如何使用 Cloud Storage,將 Compute 記錄匯出至 Google Security Operations。 Google Cloud 剖析器會擷取欄位、正規化訊息欄位,並將擷取的資料對應至統一資料模型 (UDM) 結構定義,確保安全事件的呈現方式一致。可處理各種記錄格式,包括類似於系統記錄的訊息和鍵/值組合,並根據擷取的欄位 (例如「type」和「action」) 將事件分類。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • 在 Google Cloud 環境中設定並啟用 Compute。
  • Google Cloud的特殊存取權。

建立 Google Cloud Storage bucket

  1. 登入Google Cloud 控制台
  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分執行下列操作:

      1. 輸入符合值區名稱規定的專屬名稱,例如 compute-logs
      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」

        1. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
        2. 按一下「新增標籤」,然後指定標籤的鍵和值。
    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:

      1. 選取「位置類型」

        1. 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
        1. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
    3. 在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型

    5. 在「選擇保護物件資料的方式」部分,執行下列操作:

      1. 選取「資料保護」下要為值區設定的任何選項。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」
  5. 點選「建立」

設定 Google Cloud 運算記錄匯出作業

  1. Google Cloud 控制台中,依序前往「Logging」>「Log Router」
  2. 按一下「建立接收器」
  3. 請提供下列詳細資料:

    • 接收器名稱:提供有意義的名稱,例如 Compute-Logs-Sink
    • 「Sink Destination」(接收器目的地):選取「Cloud Storage」。
    • 接收器目的地:選取 Cloud Storage 並輸入值區 URI,例如 gs://<your-bucket-name>/compute-logs
    • 記錄篩選器:設定篩選器,擷取 Google Cloud Compute 記錄,方法如下:

      • 記錄名稱和類型:

        logName="*compute*"
        
      • 網路相關欄位 (例如 IP 位址、通訊埠):

        jsonPayload.connection.dest_ip="*" OR jsonPayload.connection.src_ip="*"
        
      • 執行個體詳細資料:

        jsonPayload.dest_instance.project_id="*"
        jsonPayload.src_instance.project_id="*"
        
      • 安全性相關詳細資料:

        jsonPayload.rule_details.action="ALLOW" OR jsonPayload.rule_details.action="BLOCK"
        
  4. 點選「建立」

設定 Cloud Storage 的權限

  1. 依序前往「IAM」>「IAM & Admin」>「Service Accounts」
  2. 找出 Cloud Logging 服務帳戶,例如 service-account@logging.iam.gserviceaccount.com。
  3. 為該服務帳戶指派值區的 roles/storage.admin 角色。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Google Cloud Compute Logs」。
  5. 選取「Google Cloud Storage」做為「來源類型」。
  6. 選取「GCP Compute」做為「記錄類型」
  7. 按一下「Chronicle 服務帳戶」的「取得服務帳戶」
  8. 點選「下一步」
  9. 指定下列輸入參數的值:

    • 儲存空間值區 URI: Google Cloud gs://my-bucket/<value> 格式的儲存空間值區 URL。
    • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)
    • 來源刪除選項:根據偏好設定選取刪除選項。

  10. 點選「下一步」

  11. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 儲存空間值區 URI: Google Cloud gs://my-bucket/<value> 格式的儲存空間值區 URL。
  • 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)
  • 來源刪除選項:根據偏好設定選取刪除選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
addr read_only_udm.principal.ip 如果欄位不為空白或「?」,則會併入主要 IP 位址清單。
jsonPayload.connection.dest_ip read_only_udm.target.ip 如果該欄位存在,則會合併至目標 IP 位址清單。
jsonPayload.connection.dest_port read_only_udm.target.port 轉換為字串,然後轉換為整數,並在轉換期間未發生錯誤時對應。
jsonPayload.connection.protocol read_only_udm.network.ip_protocol 轉換為字串,然後轉換為整數。用於透過查閱資料表判斷 IP 通訊協定 (TCP、UDP 等),並在轉換期間未發生錯誤時進行對應。
jsonPayload.connection.src_ip read_only_udm.principal.ip 如果該欄位存在,則會併入主要 IP 位址清單。
jsonPayload.connection.src_port read_only_udm.principal.port 轉換為字串,然後轉換為整數,並在轉換期間未發生錯誤時對應。
jsonPayload.dest_instance.project_id read_only_udm.target.resource.product_object_id 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。
jsonPayload.dest_instance.region read_only_udm.target.location.name 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。
jsonPayload.dest_instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。
jsonPayload.dest_instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。
jsonPayload.dest_vpc.project_id read_only_udm.target.cloud.vpc.product_object_id 用來做為對應相關欄位的條件。
jsonPayload.dest_vpc.subnetwork_name read_only_udm.target.cloud.vpc.name 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。
jsonPayload.instance.project_id read_only_udm.target.resource.product_object_id 如果 jsonPayload.instance.project_id 存在,則有條件地對應。
jsonPayload.instance.region read_only_udm.target.location.name 如果 jsonPayload.instance.project_id 存在,則有條件地對應。
jsonPayload.instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name 如果 jsonPayload.instance.project_id 存在,則有條件地對應。
jsonPayload.instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone 如果 jsonPayload.instance.project_id 存在,則有條件地對應。
jsonPayload.message read_only_udm.metadata.product_event_type、read_only_udm.principal.application、read_only_udm.target.process.pid、read_only_udm.target.user.userid、read_only_udm.principal.hostname、read_only_udm.target.process.command_line、read_only_udm.security_result.description、read_only_udm.principal.process.file.full_path 根據 grok 模式和條件邏輯,剖析並對應至不同欄位。
jsonPayload.rule_details.action read_only_udm.security_result.action 用來判斷安全結果動作 (允許/封鎖) 並對應。
jsonPayload.rule_details.direction read_only_udm.network.direction 用於判斷網路方向 (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) 並對應。
jsonPayload.rule_details.priority read_only_udm.security_result.priority_details 如果轉換期間未發生錯誤,則會轉換為字串並對應。
jsonPayload.rule_details.reference read_only_udm.security_result.rule_labels.value 對應至規則標籤值。
jsonPayload.src_instance.project_id read_only_udm.principal.resource.product_object_id 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。
jsonPayload.src_instance.region read_only_udm.principal.location.name 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。
jsonPayload.src_instance.vm_name read_only_udm.principal.resource.attribute.cloud.project.name 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。
jsonPayload.src_instance.zone read_only_udm.principal.resource.attribute.cloud.availability_zone 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。
jsonPayload.src_vpc.project_id read_only_udm.principal.cloud.vpc.product_object_id 用來做為對應相關欄位的條件。
jsonPayload.src_vpc.subnetwork_name read_only_udm.principal.cloud.vpc.name 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。
jsonPayload.vpc.project_id read_only_udm.target.cloud.vpc.product_object_id 如果 jsonPayload.vpc.project_id 存在,則有條件地對應。
jsonPayload.vpc.subnetwork_name read_only_udm.target.cloud.vpc.name 如果 jsonPayload.vpc.project_id 存在,則有條件地對應。
logName read_only_udm.security_result.category_details 直接對應。
resource.labels.instance_id read_only_udm.principal.resource.product_object_id、read_only_udm.principal.asset_id 有條件對應。如果類型為「PROCTITLE」,則會用於建構資產 ID。
resource.labels.location read_only_udm.principal.location.name 如果欄位存在,則有條件地對應。
resource.labels.project_id read_only_udm.metadata.product_deployment_id 如果欄位存在,則有條件地對應。
resource.labels.zone read_only_udm.principal.resource.attribute.cloud.availability_zone 如果欄位存在,則有條件地對應。
resource.type read_only_udm.metadata.event_type 用於判斷事件類型並對應。
時間戳記 read_only_udm.metadata.event_timestamp 直接對應。
類型 read_only_udm.metadata.product_event_type、read_only_udm.metadata.event_type、read_only_udm.extensions.auth.type 用於判斷事件類型、產品事件類型和驗證類型,並據此對應。
read_only_udm.metadata.event_type 這項邏輯會根據「type」欄位和其他條件設定事件類型。如果找不到特定相符項目,則預設為「GENERIC_EVENT」。
read_only_udm.metadata.log_type 常數值為「GCP_COMPUTE」。
read_only_udm.metadata.vendor_name 常數值「Google Cloud Platform」。
read_only_udm.metadata.product_name 常數值「Google Cloud Platform」。
read_only_udm.security_result.rule_labels.key 常數值「Reference」。
read_only_udm.target.cloud.vpc.resource_type 如果存在 jsonPayload.instance.project_id 或 jsonPayload.dest_vpc.project_id,則有條件地設為「VPC_NETWORK」。
read_only_udm.target.resource.attribute.cloud.environment 如果存在 jsonPayload.instance.project_id、jsonPayload.dest_vpc.project_id 或 jsonPayload.src_vpc.project_id,則有條件地設為「GOOGLE_CLOUD_PLATFORM」。
read_only_udm.principal.administrative_domain 從「kv_data」欄位擷取的「帳戶網域」欄位對應。
read_only_udm.principal.user.user_display_name 從「kv_data」欄位擷取的「帳戶名稱」欄位對應。
read_only_udm.target.resource.name 從「kv_data」欄位擷取的「物件名稱」欄位對應。
read_only_udm.target.resource.type 從「kv_data」欄位擷取的「物件類型」欄位對應。
read_only_udm.principal.process.pid 從「kv_data」欄位擷取的「程序 ID」欄位對應。
read_only_udm.target.user.windows_sid 從「kv_data」欄位擷取的「安全 ID」欄位對應。
read_only_udm.network.session_id 對應自「auid」欄位。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。