Utiliser les espaces de noms d'éléments

Lorsque vous recherchez un composant dans Google Security Operations, par exemple à l'aide d'une adresse IP ou d'un nom d'hôte, vous pouvez voir toute l'activité associée à ce composant. Il arrive que plusieurs composants soient associés à la même adresse IP ou au même nom d'hôte (par exemple, en raison de chevauchements dans les attributions d'adresses IP RFC 1918 sur différents segments de réseau).

La fonctionnalité d'espace de noms des composants vous permet de classer les catégories de composants partageant un environnement réseau commun (ou espace de noms), puis de rechercher ces composants dans l'interface utilisateur Google SecOps en fonction de leur espace de noms. Par exemple, vous pouvez créer des espaces de noms pour les réseaux cloud, la segmentation entre les réseaux d'entreprise et de production, les réseaux de fusion et d'acquisition, etc.

Créer un espace de noms et l'attribuer aux données

Tous les composants ont un espace de noms qui est défini automatiquement ou configuré manuellement. Si aucun espace de noms n'est fourni dans les journaux, un espace de noms par défaut est associé aux composants, qui sont marqués comme non tagués dans l'UI Google SecOps. Les journaux ingérés dans Google SecOps avant la prise en charge des espaces de noms sont implicitement associés à l'espace de noms par défaut ou non tagué.

Vous pouvez configurer des espaces de noms à l'aide des éléments suivants :

• Version Linux de Google SecOps Forwarder.
• Certains analyseurs de normalisation (par exemple, pour Google Cloud) peuvent remplir automatiquement l'espace de noms (pour Google Cloud, en fonction des identifiants de projet et de VPC).
• API Chronicle Ingestion
• Gestion des flux Google SecOps.

Espaces de noms dans l'interface utilisateur Google SecOps

L'espace de noms associé à vos composants s'affiche dans l'interface utilisateur Google SecOps, en particulier chaque fois qu'une liste de composants est affichée, y compris les suivantes :

• Recherche UDM
• Analyse du journal brut
• Vues de détection

Barre de recherche

Lorsque vous utilisez la barre de recherche, les espaces de noms associés à chaque composant sont affichés. Si vous sélectionnez un composant dans un espace de noms spécifique, il s'ouvre dans la vue Composant, qui affiche les autres activités associées au même espace de noms.

Tout composant n'étant pas associé à un espace de noms est attribué à l'espace de noms par défaut. Toutefois, l'espace de noms par défaut n'est pas affiché dans les listes.

Vue des composants

Dans la vue "Composant", l'espace de noms est indiqué dans le titre du composant en haut de la page. Si vous sélectionnez le menu déroulant en cliquant sur la flèche vers le bas, vous pouvez sélectionner les autres espaces de noms associés au composant.

Vue des éléments avec des espaces de noms

Vues "Adresse IP", "Domaine" et "Hachage"

Dans l'interface utilisateur Google SecOps, les espaces de noms sont affichés chaque fois qu'un composant est référencé (à l'exception de l'espace de noms par défaut ou non tagué), y compris dans les vues "Adresse IP", "Domaine" et "Hachage".

Par exemple, dans la vue "Adresse IP", les espaces de noms sont inclus à la fois dans l'onglet "Actifs" et dans le graphique de prévalence.

Étiquettes d'ingestion

Pour affiner davantage votre recherche, vous pouvez utiliser des libellés d'ingestion afin de configurer des flux distincts. Pour obtenir la liste complète des libellés d'ingestion acceptés, consultez Analyseurs par défaut acceptés.

Exemples : trois façons d'ajouter un espace de noms aux journaux

Les exemples suivants illustrent trois manières différentes d'ajouter un espace de noms aux journaux que vous ingérez dans votre compte Google SecOps.

Attribuer un espace de noms à l'aide du Google SecOps Forwarder

Vous pouvez configurer un espace de noms en l'ajoutant au fichier de configuration Google SecOps Forwarder en tant qu'espace de noms spécifique au transmetteur ou spécifique au collecteur. L'exemple de configuration de redirecteur suivant illustre les deux types :

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Comme le montre cet exemple, les journaux provenant de WINEVTLOG incluent le tag d'espace de noms FORWARDER. Les journaux provenant de NIX_SYSTEM incluent le tag d'espace de noms CORPORATE.

Cela définit un espace de noms global pour le collecteur de journaux. Si votre environnement contient un mélange de journaux appartenant à plusieurs espaces de noms et que vous ne pouvez pas segmenter ces machines (ou si cela est intentionnel), Google vous recommande de créer plusieurs collecteurs pour la même source de journaux qui filtrent les journaux vers leur espace de noms respectif à l'aide d'expressions régulières.

Attribuer un espace de noms à l'aide de l'API Ingestion

Vous pouvez également configurer un espace de noms lorsque vous envoyez vos journaux via le point de terminaison unstructuredlogentries dans l'API d'ingestion Chronicle, comme illustré dans l'exemple suivant :

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Dans cet exemple, l'espace de noms est un paramètre de corps de l'appel POST de l'API. Les journaux à partir de BIND\_DNS transmettent leurs données de journal avec le tag d'espace de noms FORWARDER.

Attribuer un espace de noms à l'aide de la gestion des flux Google SecOps

Comme indiqué dans le guide de l'utilisateur sur la gestion des flux, la gestion des flux Google SecOps vous permet de configurer et de gérer différents flux de journaux dans votre locataire Google SecOps.

Dans l'exemple suivant, les journaux Office 365 seront ingérés avec le tag d'espace de noms FORWARDER :

Figure 1 : Configuration de la gestion des flux avec le tag d'espace de noms FORWARDER

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.