本頁面由 Cloud Translation API 翻譯而成。

使用資產命名空間

支援的國家/地區：

Google SecOps SIEM

在 Google Security Operations 中搜尋資產時 (例如使用 IP 位址或主機名稱)，您可以查看與該資產相關的所有活動。有時，多個資產會與同一個 IP 位址或主機名稱建立關聯 (例如，來自不同網路區隔的 RFC 1918 IP 位址指派作業重疊)。

資產命名空間功能可讓您分類共用通用網路環境或命名空間的資產類別，然後根據命名空間在 Google SecOps 使用者介面中搜尋這些資產。舉例來說，您可以為雲端網路、公司與生產環境區隔、合併與收購網路等建立命名空間。

建立命名空間並指派給資料

所有資產都有自動定義或手動設定的命名空間。如果記錄中未提供命名空間，系統會將「預設」命名空間與資產建立關聯，並在 Google SecOps 使用者介面中標示為「未標記」。在支援命名空間之前，系統會將擷取到 Google SecOps 的記錄，隱含標示為預設或未標記的命名空間。

您可以使用下列項目設定命名空間：

Google SecOps Forwarder 的 Linux 版本。
部分正規化剖析器 (例如 Google Cloud 專用剖析器) 可以自動填入命名空間 (以 Google Cloud 來說，是根據專案和虛擬私有雲 ID)。
Chronicle Ingestion API。
Google SecOps Feeds Management。

Google SecOps 使用者介面中的命名空間

在 Google SecOps 使用者介面中，您會看到附加至資產的命名空間，尤其是在資產清單中，包括：

UDM 搜尋
原始記錄掃描
偵測項目檢視畫面

搜尋列

使用搜尋列時，系統會顯示與各項資產相關聯的命名空間。在特定命名空間中選取資產，即可在「資產」檢視畫面中開啟該資產，並查看與相同命名空間相關的其他活動。

未與命名空間建立關聯的資產會指派給預設命名空間。不過，預設命名空間不會顯示在清單中。

資產檢視畫面

在「資產」檢視畫面中，命名空間會顯示在頁面頂端的資產標題中。按一下向下箭頭選取下拉式選單，即可選取與資產相關的其他命名空間。

含有命名空間的資產檢視畫面 資產檢視畫面 (含命名空間)

IP 位址、網域和雜湊檢視畫面

在 Google SecOps 使用者介面中，只要參照資產 (預設或未標記的命名空間除外)，就會顯示命名空間，包括 IP 位址、網域和雜湊檢視畫面。

舉例來說，在 IP 位址檢視畫面中，命名空間會同時顯示在資產分頁和普遍程度圖表中。

擷取標籤

如要進一步縮小搜尋範圍，可以使用擷取標籤設定個別動態饋給。如需支援的擷取標籤完整清單，請參閱「支援的預設剖析器」。

範例：將命名空間新增至記錄檔的三種方式

以下範例說明三種不同的方式，可將命名空間新增至您擷取至 Google SecOps 帳戶的記錄。

使用 Google SecOps Forwarder 指派命名空間

如要設定命名空間，請將其新增至 Google SecOps Forwarder 設定檔，做為轉送器專用命名空間或收集器專用命名空間。下列轉送器設定範例說明這兩種類型：

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如本範例所示，來自 WINEVTLOG 的記錄包含命名空間標記 FORWARDER。來自 NIX_SYSTEM 的記錄包含命名空間標記 CORPORATE。

這會為記錄收集器設定整體命名空間。如果您的環境包含多個命名空間的記錄，且您無法區隔這些機器 (或這是設計使然)，Google 建議為相同的記錄來源建立多個收集器，並使用規則運算式篩選記錄，將記錄傳送至各自的命名空間。

使用 Ingestion API 指派命名空間

透過 Chronicle 擷取 API 的 unstructuredlogentries 端點傳送記錄時，您也可以設定命名空間，如下例所示：

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在本例中，命名空間是 API POST 呼叫的主體參數。BIND\_DNS 會使用 FORWARDER 命名空間標記轉送記錄資料。

使用 Google SecOps 資訊提供管理功能指派命名空間

如動態饋給管理使用者指南所述，Google SecOps 動態饋給管理功能可讓您在 Google SecOps 租戶中設定及管理各種記錄串流。

在下列範例中，系統會使用 FORWARDER 命名空間標記擷取 Office 365 記錄：

圖 1：使用 FORWARDER 命名空間標記的動態饋給管理設定

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。