Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare gli spazi dei nomi degli asset

Supportato in:

Google SecOps SIEM

Quando cerchi un asset in Google Security Operations, ad esempio utilizzando un indirizzo IP o un nome host, puoi visualizzare tutte le attività associate a quell'asset. A volte sono presenti più asset associati allo stesso indirizzo IP o allo stesso nome host (ad esempio, da assegnazioni di indirizzi IP RFC 1918 sovrapposte su diversi segmenti di rete).

La funzionalità di spazi dei nomi degli asset consente di classificare le categorie di asset che condividono un ambiente di rete o uno spazio dei nomi comune e di eseguire ricerche per questi asset all'interno dell'interfaccia utente di Google Security Operations in base al loro spazio dei nomi. Ad esempio, puoi creare spazi dei nomi per reti cloud, segmentazioni di tipo aziendale e prodotto, reti di fusioni e acquisizioni e così via.

Creare e assegnare lo spazio dei nomi ai dati

Tutti gli asset hanno uno spazio dei nomi definito automaticamente o configurato manualmente. Se non viene fornito uno spazio dei nomi nei log, alle risorse viene associato uno spazio dei nomi predefinito, contrassegnato come segnalato nell'interfaccia utente di Google Security Operations. I log importati in Google Security Operations prima del supporto dello spazio dei nomi vengono etichettati implicitamente come parte dello spazio dei nomi predefinito o non taggato.

Puoi configurare gli spazi dei nomi utilizzando quanto segue:

Versione Linux del forwarder di Google Security Operations.
Alcuni degli analizzatori di normalizzazione (ad esempio per Google Cloud) possono compilare automaticamente lo spazio dei nomi (per Google Cloud, in base agli identificatori di progetto e VPC).
API Google Security Operations Ingestion.
Gestione dei feed di Google Security Operations.

Spazi dei nomi nell'interfaccia utente di Google Security Operations

Vedrai lo spazio dei nomi associato alle tue risorse nell'interfaccia utente di Google Security Operations, soprattutto quando è presente un elenco di risorse, tra cui:

Ricerca UDM
Scansione log non elaborati
Insight aziendali
Visualizzazioni di rilevamento

Barra di ricerca

Quando utilizzi la barra di ricerca, vengono visualizzati gli spazi dei nomi associati a ogni risorsa. Se selezioni una risorsa all'interno di uno spazio dei nomi specifico, la apri nella visualizzazione Risorse, dove vengono mostrate le altre attività associate allo stesso spazio dei nomi.

Qualsiasi risorsa non associata a uno spazio dei nomi viene assegnata allo spazio dei nomi predefinito. Tuttavia, lo spazio dei nomi predefinito non viene visualizzato negli elenchi.

Visualizzazione degli asset

Nella visualizzazione Asset, lo spazio dei nomi è indicato nel titolo della risorsa nella parte superiore della pagina. Se selezioni il menu a discesa facendo clic sulla Freccia giù, puoi selezionare gli altri spazi dei nomi associati alla risorsa.

Visualizzazione degli asset con gli spazi dei nomi Visualizzazione delle risorse con gli spazi dei nomi

Visualizzazioni Indirizzo IP, Dominio e Hash

Nell'interfaccia utente di Google Security Operations, gli spazi dei nomi vengono visualizzati ovunque viene fatto riferimento a una risorsa (tranne che per lo spazio dei nomi predefinito o non taggato), ad esempio nelle visualizzazioni Indirizzo IP, Dominio e Hash.

Ad esempio, nella visualizzazione Indirizzo IP, gli spazi dei nomi sono inclusi sia nella scheda Asset sia nel grafico sulla prevalenza.

Etichette di importazione

Per restringere ulteriormente la ricerca, puoi utilizzare le etichette di importazione per configurare feed separati. Per un elenco completo delle etichette di importazione supportate, consulta Parser predefiniti supportati.

Esempi: tre modi per aggiungere uno spazio dei nomi ai log

I seguenti esempi illustrano tre diversi modi per aggiungere un ambito ai log importati nel tuo account Google Security Operations.

Assegnare uno spazio dei nomi utilizzando il forwarder di Google Security Operations

Puoi configurare uno spazio dei nomi aggiungendolo al file di configurazione del forwarder di Google Security Operations come spazio dei nomi specifico per il forwarder o specifico per il collector. La seguente configurazione di esempio del forwarder illustra entrambi i tipi:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Come mostrato in questo esempio, i log provenienti da WINEVTLOG includono il tag dello spazio dei nomi FORWARDER. I log provenienti da NIX_SYSTEM includono il tag dello spazio dei nomi CORPORATE.

Viene impostato uno spazio dei nomi complessivo per il raccoglitore di log. Se il tuo ambiente contiene una combinazione di log appartenenti a più spazi dei nomi e non riesci a segmentare queste macchine (o se si tratta di una scelta intenzionale), Google consiglia di creare più collector per la stessa origine log che filtra i log nel rispettivo spazio dei nomi utilizzando espressioni regolari.

Assegnare uno spazio dei nomi utilizzando l'API di importazione

Puoi anche configurare un ambito quando invii i log tramite l'endpoint unstructuredlogentries all'interno dell'API di importazione di Google Security Operations, come mostrato nel seguente esempio:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

In questo esempio, lo spazio dei nomi è un parametro del corpo della chiamata POST dell'API. I log di BIND\_DNS inoltrano i dati dei log con il tag dello spazio dei nomi FORWARDER.

Assegna uno spazio dei nomi utilizzando la gestione dei feed di Google Security Operations

Come indicato nella Guida utente per la gestione dei feed, la gestione dei feed di Google Security Operations ti consente di configurare e gestire vari stream di log all'interno del tuo tenant Google Security Operations.

Nell'esempio seguente, i log di Office 365 verranno importati con il tag dello spazio dei nomi FORWARDER:

Figura 1: configurazione della gestione dei feed con il tag dello spazio dei nomi FORWARDER