Trabalhe com espaços de nomes de recursos
Quando pesquisa um recurso no Google Security Operations, por exemplo, através de um endereço IP ou de um nome de anfitrião, pode ver toda a atividade associada a esse recurso. Por vezes, existem vários recursos associados ao mesmo endereço IP ou nome de anfitrião (por exemplo, de atribuições de endereços IP RFC 1918 sobrepostas em diferentes segmentos de rede).
A funcionalidade de espaço de nomes de recursos permite-lhe classificar categorias de recursos que partilham um ambiente de rede comum ou um espaço de nomes e, em seguida, realizar pesquisas desses recursos na interface do utilizador do Google SecOps com base no respetivo espaço de nomes. Por exemplo, pode criar espaços de nomes para redes na nuvem, segmentação de corp versus prod, redes de fusões e aquisições, entre outros.
Crie e atribua um espaço de nomes aos dados
Todos os recursos têm um espaço de nomes definido automaticamente ou configurado manualmente. Se não for fornecido nenhum espaço de nomes nos registos, é associado um espaço de nomes predefinido aos recursos, que é etiquetado como sem etiqueta na IU do Google SecOps. Os registos carregados para o Google SecOps antes da compatibilidade com espaços de nomes são etiquetados implicitamente como parte do espaço de nomes predefinido ou não etiquetado.
Pode configurar espaços de nomes através do seguinte:
- Versão Linux do encaminhador do Google SecOps.
- Alguns dos analisadores de normalização (por exemplo, para o Google Cloud) podem preencher automaticamente o espaço de nomes (para o Google Cloud, com base nos identificadores do projeto e da VPC).
- API Chronicle Ingestion.
- Gestão de feeds do Google SecOps.
Espaços de nomes na IU do Google SecOps
O espaço de nomes associado aos seus recursos é apresentado em toda a IU do Google SecOps, especialmente sempre que existe uma lista de recursos, incluindo o seguinte:
- Pesquisa UDM
- Procura de registos não processados
- Visualizações de deteção
Barra de pesquisa
Quando usa a barra de pesquisa, são apresentados os espaços de nomes associados a cada recurso. Selecionar um recurso num espaço de nomes específico abre-o na vista de recursos, mostrando as outras atividades associadas ao mesmo espaço de nomes.
Qualquer recurso não associado a um espaço de nomes é atribuído ao espaço de nomes predefinido. No entanto, o espaço de nomes predefinido não é apresentado nas listas.
Vista de recursos
Na vista de recursos, o espaço de nomes é indicado no título do recurso na parte superior da página. Se selecionar o menu pendente clicando na seta para baixo, pode selecionar os outros espaços de nomes associados ao recurso.
Vista de recursos com espaços de nomes
Vistas de endereço IP, domínio e hash
Na interface do utilizador do Google SecOps, os espaços de nomes são apresentados em qualquer lugar onde um recurso seja referenciado (exceto no espaço de nomes predefinido ou sem etiqueta), incluindo nas vistas de endereço IP, domínio e hash.
Por exemplo, na vista Endereço IP, os espaços de nomes são incluídos no separador de recursos e no gráfico de prevalência.
Etiquetas de carregamento
Para restringir ainda mais a pesquisa, pode usar etiquetas de carregamento para configurar feeds separados. Para ver uma lista completa das etiquetas de carregamento suportadas, consulte o artigo Analizadores predefinidos suportados.
Exemplos: três formas de adicionar um espaço de nomes aos registos
Os exemplos seguintes ilustram três formas diferentes de adicionar um espaço de nomes aos registos que carrega para a sua conta do Google SecOps.
Atribua um espaço de nomes através do encaminhador do Google SecOps
Pode configurar um espaço de nomes adicionando-o ao ficheiro de configuração do encaminhador do Google SecOps como um espaço de nomes específico do encaminhador ou um espaço de nomes específico do coletor. A configuração de encaminhador de exemplo seguinte ilustra ambos os tipos:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Conforme mostrado neste exemplo, os registos provenientes de WINEVTLOG incluem a etiqueta de espaço de nomes FORWARDER. Os registos originados de NIX_SYSTEM incluem a etiqueta de espaço de nomes CORPORATE.
Isto define um espaço de nomes geral para o coletor de registos. Se o seu ambiente contiver uma combinação de registos pertencentes a vários espaços de nomes e não conseguir segmentar estas máquinas (ou se isto for intencional), a Google recomenda que crie vários coletores para a mesma origem de registos que filtram os registos para o respetivo espaço de nomes através de expressões regulares.
Atribua um espaço de nomes através da API de carregamento
Também pode configurar um espaço de nomes quando envia os seus registos através do ponto final unstructuredlogentries na API de carregamento do Chronicle, conforme mostrado no exemplo seguinte:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
Neste exemplo, o espaço de nomes é um parâmetro do corpo da chamada POST da API. Os registos de BIND\_DNS encaminham os respetivos dados de registo com a etiqueta de espaço de nomes FORWARDER.
Atribua um espaço de nomes através da gestão de feeds do Google SecOps
Conforme indicado no guia do utilizador de gestão de feeds, a gestão de feeds do Google SecOps permite-lhe configurar e gerir várias streams de registos no seu inquilino do Google SecOps.
No exemplo seguinte, os registos do Office 365 são carregados com a etiqueta de espaço de nomes FORWARDER:
Figura 1: configuração da gestão de feeds com a etiqueta do espaço de nomes FORWARDER
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.