Utilizzare gli spazi dei nomi degli asset
Quando cerchi un asset in Google Security Operations, ad esempio utilizzando un indirizzo IP o un nome host, puoi visualizzare tutta l'attività associata a quell'asset. A volte ci sono più asset associati allo stesso indirizzo IP o nome host (ad esempio, da assegnazioni di indirizzi IP RFC 1918 sovrapposti su segmenti di rete diversi).
La funzionalità di spazio dei nomi degli asset consente di classificare le categorie di asset che condividono un ambiente di rete comune o uno spazio dei nomi, quindi di eseguire ricerche di questi asset all'interno dell'interfaccia utente di Google SecOps in base al loro spazio dei nomi. Ad esempio, puoi creare spazi dei nomi per reti cloud, segmentazione corp e prod, reti di fusioni e acquisizioni e così via.
Creare e assegnare uno spazio dei nomi ai dati
Tutte le risorse hanno uno spazio dei nomi definito automaticamente o configurato manualmente. Se nei log non viene fornito alcuno spazio dei nomi, agli asset viene associato uno spazio dei nomi predefinito, etichettato come senza tag nell'interfaccia utente di Google SecOps. I log inseriti in Google SecOps prima del supporto dello spazio dei nomi vengono etichettati implicitamente come parte dello spazio dei nomi predefinito o senza tag.
Puoi configurare gli spazi dei nomi utilizzando:
- Versione Linux di Google SecOps Forwarder.
- Alcuni analizzatori di normalizzazione (ad esempio per Google Cloud) possono compilare automaticamente lo spazio dei nomi (per Google Cloud, in base agli identificatori di progetto e VPC).
- API Chronicle Ingestion.
- Google SecOps Feeds Management.
Spazi dei nomi nell'interfaccia utente di Google SecOps
Vedrai lo spazio dei nomi collegato alle tue risorse in tutta l'interfaccia utente di Google SecOps, soprattutto ogni volta che è presente un elenco di risorse, tra cui:
- Ricerca UDM
- Scansione log non elaborati
- Visualizzazioni rilevamento
Barra di ricerca
Quando utilizzi la barra di ricerca, vengono visualizzati gli spazi dei nomi associati a ogni asset. Se selezioni un asset all'interno di uno spazio dei nomi specifico, questo si apre nella visualizzazione Asset, che mostra le altre attività associate allo stesso spazio dei nomi.
Qualsiasi asset non associato a uno spazio dei nomi viene assegnato allo spazio dei nomi predefinito. Tuttavia, lo spazio dei nomi predefinito non viene visualizzato negli elenchi.
Visualizzazione degli asset
Nella visualizzazione Asset, lo spazio dei nomi è indicato nel titolo dell'asset nella parte superiore della pagina. Se selezioni il menu a discesa facendo clic sulla Freccia Giù, puoi selezionare gli altri spazi dei nomi associati all'asset.
Visualizzazione degli asset con spazi dei nomi
Visualizzazioni di indirizzo IP, dominio e hash
Nell'interfaccia utente di Google SecOps, gli spazi dei nomi vengono visualizzati ovunque venga fatto riferimento a un asset (ad eccezione dello spazio dei nomi predefinito o senza tag), incluse le visualizzazioni Indirizzo IP, Dominio e Hash.
Ad esempio, nella visualizzazione Indirizzo IP, gli spazi dei nomi sono inclusi sia nella scheda Asset sia nel grafico di prevalenza.
Etichette di importazione
Per restringere ulteriormente la ricerca, puoi utilizzare le etichette di importazione per configurare feed separati. Per un elenco completo delle etichette di importazione supportate, consulta Parser predefiniti supportati.
Esempi: tre modi per aggiungere uno spazio dei nomi ai log
I seguenti esempi illustrano tre modi diversi per aggiungere uno spazio dei nomi ai log che importi nel tuo account Google SecOps.
Assegnare uno spazio dei nomi utilizzando Google SecOps Forwarder
Puoi configurare uno spazio dei nomi aggiungendolo al file di configurazione di Google SecOps Forwarder come spazio dei nomi specifico del forwarder o specifico del raccoglitore. La seguente configurazione dell'agente di inoltro di esempio illustra entrambi i tipi:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Come mostrato in questo esempio, i log provenienti da WINEVTLOG includono il tag dello spazio dei nomi FORWARDER. I log provenienti da NIX_SYSTEM includono il tag dello spazio dei nomi CORPORATE.
In questo modo viene impostato uno spazio dei nomi complessivo per il raccoglitore di log. Se il tuo ambiente contiene un mix di log appartenenti a più spazi dei nomi e non riesci a segmentare queste macchine (o se è così per progettazione), Google consiglia di creare più raccoglitori per la stessa origine log che filtrano i log nel rispettivo spazio dei nomi utilizzando le espressioni regolari.
Assegnare uno spazio dei nomi utilizzando l'API Ingestion
Puoi anche configurare uno spazio dei nomi quando invii i log tramite l'endpoint unstructuredlogentries all'interno dell'API Chronicle Ingestion, come mostrato nel seguente esempio:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
In questo esempio, lo spazio dei nomi è un parametro del corpo della chiamata POST dell'API. I log a partire dal giorno BIND\_DNS inoltrano i dati di log con il tag dello spazio dei nomi FORWARDER.
Assegnare uno spazio dei nomi utilizzando la gestione dei feed di Google SecOps
Come indicato nella Guida per l'utente alla gestione dei feed, la gestione dei feed di Google SecOps ti consente di configurare e gestire vari flussi di log all'interno del tuo tenant Google SecOps.
Nell'esempio seguente, i log di Office 365 verranno importati con il tag dello spazio dei nomi FORWARDER:
Figura 1: configurazione della gestione dei feed con il tag dello spazio dei nomi FORWARDER
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.