Mit Asset-Namespaces arbeiten
Wenn Sie in Google Security Operations nach einem Asset suchen, z. B. mit einer IP-Adresse oder einem Hostnamen, sehen Sie alle mit diesem Asset verknüpften Aktivitäten. Manchmal sind mehrere Assets mit derselben IP-Adresse oder demselben Hostnamen verknüpft (z. B. durch sich überschneidende RFC 1918-IP-Adresszuweisungen in verschiedenen Netzwerksegmenten).
Mit der Asset-Namensraumfunktion können Sie Kategorien von Assets klassifizieren, die eine gemeinsame Netzwerkumgebung oder einen gemeinsamen Namespace haben, und dann anhand des Namespaces nach diesen Assets in der Google SecOps-Benutzeroberfläche suchen. Sie können beispielsweise Namespaces für Cloud-Netzwerke, die Segmentierung von Unternehmens- und Produktionsnetzwerken, Fusions- und Akquisitionsnetzwerke usw. erstellen.
Namespace erstellen und Daten zuweisen
Alle Assets haben einen Namespace, der entweder automatisch definiert oder manuell konfiguriert wird. Wenn in den Protokollen kein Namespace angegeben ist, wird den Assets der Standard-Namespace zugewiesen, der in der Google SecOps-Benutzeroberfläche als untagged (nicht getaggt) gekennzeichnet ist. Protokolle, die vor der Namespaceunterstützung in Google SecOps aufgenommen wurden, werden implizit als Teil des Standard- oder nicht getaggten Namespaces gekennzeichnet.
Sie können Namespaces mithilfe der folgenden Tools konfigurieren:
- Linux-Version des Google SecOps-Weiterleiters.
- Einige der Normalisierungsparser (z. B. für Google Cloud) können den Namespace automatisch ausfüllen (bei Google Cloud basierend auf Projekt- und VPC-IDs).
- Chronicle Ingestion API
- Google SecOps-Feedverwaltung
Namespaces in der Google SecOps-Benutzeroberfläche
Der Namespace, der Ihren Assets zugewiesen ist, wird in der Google SecOps-Benutzeroberfläche angezeigt, insbesondere in Listen mit Assets, z. B. in den folgenden Bereichen:
- UDM-Suche
- Rohlog-Scan
- Unternehmensstatistiken
- Erkennungsansichten
Suchleiste
Wenn du die Suchleiste verwendest, werden die mit den einzelnen Assets verknüpften Namespaces angezeigt. Wenn Sie ein Asset in einem bestimmten Namespace auswählen, wird es in der Asset-Ansicht geöffnet. Dort werden auch die anderen Aktivitäten angezeigt, die mit demselben Namespace verknüpft sind.
Assets, die keinem Namespace zugeordnet sind, werden dem Standard-Namespace zugewiesen. Der Standard-Namespace wird jedoch nicht in Listen angezeigt.
Asset-Ansicht
In der Asset-Ansicht wird der Namespace im Titel des Assets oben auf der Seite angezeigt. Wenn Sie auf den Drop-down-Pfeil klicken, können Sie die anderen Namespaces auswählen, die mit dem Asset verknüpft sind.
Asset-Ansicht mit Namespaces
Ansichten für IP-Adressen, Domains und Hashwerte
Auf der Benutzeroberfläche von Google SecOps werden Namespaces überall dort angezeigt, wo auf ein Asset verwiesen wird (außer auf den Standard- oder nicht getaggten Namespace), einschließlich in den Ansichten „IP-Adresse“, „Domain“ und „Hash“.
In der Ansicht „IP-Adresse“ sind Namespaces beispielsweise sowohl auf dem Tab „Assets“ als auch im Verbreitungsdiagramm enthalten.
Labels für Datenaufnahme
Mithilfe von Datenaufnahmelabels können Sie die Suche weiter eingrenzen und separate Feeds einrichten. Eine vollständige Liste der unterstützten Datenaufnahmelabels finden Sie unter Unterstützte Standardparser.
Beispiele: Drei Möglichkeiten, Logs einen Namespace hinzuzufügen
In den folgenden Beispielen werden drei verschiedene Möglichkeiten veranschaulicht, wie Sie den Logs, die Sie in Ihr Google SecOps-Konto aufnehmen, einen Namespace hinzufügen können.
Namespace mit dem Google SecOps-Weiterleiter zuweisen
Sie können einen Namespace konfigurieren, indem Sie ihn der Konfigurationsdatei des Google SecOps-Weiterleiters als Weiterleiter-spezifischen oder Empfänger-spezifischen Namespace hinzufügen. Die folgende Beispielweiterleitungskonfiguration veranschaulicht beide Typen:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Wie in diesem Beispiel zu sehen, enthalten die Logs, die von WINEVTLOG stammen, das Namespace-Tag FORWARDER. Die Logs von NIX_SYSTEM enthalten das Namespace-Tag CORPORATE.
Dadurch wird dem Log-Erfassungstool ein Gesamt-Namespace zugewiesen. Wenn Ihre Umgebung Protokolle enthält, die zu mehreren Namespaces gehören, Sie diese Maschinen aber nicht segmentieren können (oder dies beabsichtigt ist), empfiehlt Google, mehrere Collectors für dieselbe Protokollquelle zu erstellen, die die Protokolle mithilfe von regulären Ausdrücken in den jeweiligen Namespace filtert.
Mit der Ingestion API einen Namensbereich zuweisen
Sie können auch einen Namespace konfigurieren, wenn Sie Ihre Protokolle über den unstructuredlogentries-Endpunkt in der Chronicle-Aufnahme-API senden, wie im folgenden Beispiel gezeigt:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
In diesem Beispiel ist der Namespace ein Body-Parameter des API-POST-Aufrufs. Logs von BIND\_DNS leiten ihre Logdaten mit dem Namespace-Tag FORWARDER weiter.
Namespace mithilfe der Google SecOps-Feedverwaltung zuweisen
Wie im Nutzerhandbuch für die Feedverwaltung beschrieben, können Sie mit der Google SecOps-Feedverwaltung verschiedene Logstreams in Ihrem Google SecOps-Tenant einrichten und verwalten.
Im folgenden Beispiel werden Office 365-Logs mit dem Namespace-Tag FORWARDER aufgenommen:
Abbildung 1: Konfiguration der Feedverwaltung mit dem Namespace-Tag FORWARDER
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten