Trabalhar com namespaces de recursos

Compatível com:

Ao pesquisar um recurso no Google Security Operations, por exemplo, usando um endereço IP ou um nome de host, você pode conferir toda a atividade associada a ele. Às vezes, há vários recursos associados ao mesmo endereço IP ou nome de host (por exemplo, de atribuições de endereço IP RFC 1918 sobrepostas em segmentos de rede diferentes).

O recurso de namespace de recursos permite classificar categorias de recursos que compartilham um ambiente de rede comum, ou namespace, e realizar pesquisas nesses recursos na interface do usuário do Google SecOps com base no namespace. Por exemplo, é possível criar namespaces para redes de nuvem, segmentação de empresas e produtos, redes de fusão e aquisição e assim por diante.

Criar e atribuir namespace aos dados

Todos os recursos têm um namespace definido automaticamente ou configurado manualmente. Se nenhum namespace for fornecido nos registros, um namespace padrão será associado aos recursos que estão marcados como sem tag na interface do Google SecOps. Os registros ingeridos no Google SecOps antes do suporte a namespace são rotulados implicitamente como parte do namespace padrão ou não marcado.

É possível configurar namespaces usando:

Namespaces na interface do Google SecOps

O namespace vai aparecer anexado aos seus recursos em toda a interface do Google SecOps, principalmente quando houver uma lista de recursos, incluindo:

  • Pesquisa do UDM
  • Verificação de registro bruto
  • Insights corporativos
  • Visualizações de detecção

Ao usar a barra de pesquisa, os namespaces associados a cada recurso são exibidos. Selecionar um recurso em um namespace específico o abre na visualização de recursos, mostrando as outras atividades associadas ao mesmo namespace.

Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não aparece nas listas.

Visualização de recursos

Na visualização de recursos, o namespace é indicado no título do recurso na parte de cima da página. Se você selecionar o menu suspenso clicando na seta para baixo, poderá selecionar os outros namespaces associados ao recurso.

Visualização de recursos com namespaces Visualização de recursos com namespaces

Visualizações de endereço IP, domínio e hash

Na interface do usuário do Google SecOps, os namespaces são mostrados em qualquer lugar em que um recurso seja referenciado (exceto o namespace padrão ou não marcado), incluindo as visualizações de endereço IP, domínio e hash.

Por exemplo, na visualização de endereço IP, os namespaces são incluídos na guia de recursos e no gráfico de prevalência.

Rótulos de ingestão

Para restringir ainda mais a pesquisa, use os rótulos de transferência para configurar feeds separados. Para conferir uma lista completa de rótulos de transferência aceitos, consulte Analisadores padrão aceitos.

Exemplos: três maneiras de adicionar um namespace aos registros

Os exemplos a seguir ilustram três maneiras diferentes de adicionar um namespace aos registros que você processa na sua conta do Google SecOps.

Atribuir um namespace usando o encaminhador do Google SecOps

Para configurar um namespace, adicione-o ao arquivo de configuração do Google SecOps Forwarder como um namespace específico do forwarder ou específico do coletor. O exemplo de configuração de forwarder a seguir ilustra os dois tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como mostrado neste exemplo, os registros originados de WINEVTLOG incluem a tag de namespace FORWARDER. Os registros originados em NIX_SYSTEM incluem a tag de namespace CORPORATE.

Isso define um namespace geral para o coletor de registros. Se o ambiente tiver uma mistura de registros que pertencem a vários namespaces e você não conseguir segmentar essas máquinas (ou isso for intencional), o Google recomenda criar vários coletores para a mesma origem de registro que filtra os registros para o respectivo namespace usando expressões regulares.

Atribuir um namespace usando a API Ingestion

Também é possível configurar um namespace ao enviar seus registros pelo endpoint unstructuredlogentries na API de transferência do Chronicle, conforme mostrado no exemplo a seguir:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Neste exemplo, o namespace é um parâmetro de corpo da chamada POST da API. Os registros de BIND\_DNS encaminham os dados de registro com a tag de namespace FORWARDER.

Atribuir um namespace usando o Gerenciamento de feeds do Google SecOps

Conforme indicado no Guia do usuário para gerenciamento de feeds, o gerenciamento de feeds do Google SecOps permite configurar e gerenciar vários fluxos de registro no seu locatário do Google SecOps.

No exemplo abaixo, os registros do Office 365 serão ingeridos com a tag de namespace FORWARDER:

add_feed_namespace

Figura 1: configuração do Gerenciador de feeds com a tag de namespace FORWARDER

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.