GCP-Logs in Chronicle aufnehmen

Auf dieser Seite wird gezeigt, wie Sie die Aufnahme Ihrer GCP-Telemetrie in Chronicle aktivieren bzw. deaktivieren. Mit Chronicle können Sie zusammengefasste Sicherheitsinformationen für Ihr Unternehmen speichern, suchen und prüfen. Dabei kann es mehrere Monate oder länger dauern.

Hinweis

Bevor Sie die GCP-Telemetrie in das Chronicle-Konto aufnehmen können, müssen Sie die folgenden Schritte ausführen:

  1. Wenden Sie sich an Ihren Chronicle-Ansprechpartner und erhalten Sie den einmaligen Zugriffscode, den Sie zum Aufnehmen Ihrer GCP-Telemetrie benötigen.

  2. Erteilen Sie die IAM-Rollen, die für den Zugriff auf den Chronicle-Abschnitt erforderlich sind:

    • Chronicle Service Admin: IAM-Rolle zum Ausführen aller Aktivitäten.
    • Chronicle Service Viewer: IAM-Rolle, um nur den Status der Aufnahme anzeigen zu lassen.

IAM-Rollen zuweisen

Sie können die erforderlichen IAM-Rollen entweder über die Google Cloud Console oder die gcloud-Befehlszeile zuweisen.

Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:

  1. Melden Sie sich in der GCP-Organisation an, mit der Sie eine Verbindung herstellen möchten, und wechseln Sie mit Produkte > IAM und Verwaltung > IAM zum IAM-Bildschirm.

  2. Wählen Sie im IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.

  3. Klicken Sie im Bildschirm „Berechtigungen bearbeiten” auf Weitere Rolle hinzufügen und suchen Sie nach Chronicle, um die IAM-Rollen zu finden.

  4. Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.

So weisen Sie IAM-Rollen mithilfe der Google Cloud-Befehlszeile zu:

  1. Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl gcloud init.

  2. Führen Sie den folgenden Befehl aus, um die IAM-Administratorrolle über das gCloud-Tool zuzuweisen:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Führen Sie den folgenden Befehl aus, um die Betrachter-IAM-Rolle über das gCloud-Tool zuzuweisen:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

GCP-Telemetrieaufnahme aktivieren

Führen Sie die folgenden Schritte aus, um die GCP-Telemetrieaufnahme in Ihrem Chronicle-Konto zu aktivieren:

  1. Rufen Sie die Seite Chronicle für die Google Cloud Console auf.
    Zur Seite „Crononicle”

  2. Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmaliger Chronicle-Zugriffscode ein.

  3. Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen von Chronicle für die Verwendung meiner Google Cloud-Daten zu.

  4. Klicken Sie auf Connect Chronicle.

    Screenshot: Seite „Chronicle verbinden”

Ihre GCP-Telemetriedaten wird nun an Chronicle gesendet. Sie können die Analysefunktionen von Chronicle verwenden, um sicherheitsrelevante Probleme zu untersuchen. In den folgenden Abschnitten wird beschrieben, wie Sie die GCP-Telemetrietypen anpassen können, die an Chronicle gesendet werden.

Google Cloud-Logs nach Chronicle exportieren

Zum Exportieren Ihrer Google Cloud-Logs nach Chronicle aktivieren Sie die Option Cloud-Logs nach Chronicle exportieren.

Screenshot: Google Cloud-Logs exportieren

Google Cloud-Asset-Metadaten nach Chronicle exportieren

Sie können Ihre Google Cloud-Asset-Metadaten nach Chronicle exportieren. Diese Asset-Metadaten stammen aus Ihrem Google Cloud Asset Inventory und enthalten Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:

  • Umgebung
  • Ort
  • Zone
  • Hardwaremodelle

Hier ein paar Beispiele für Google Cloud-Asset-Metadaten:

  • Name der Anwendung: Google-iamSample/0.1
  • Projektname: projects/my-project

Zum Exportieren Ihrer Google Cloud-Asset-Metadaten nach Chronicle aktivieren Sie die Option Cloud Asset-Metadaten nach Chronicle exportieren.

Screenshot: Cloud Asset Metadata aktivieren.

Security Command Center-Ergebnisse nach Chronicle exportieren

Sie können die folgenden SCC Premium Event Threat Detection-Ergebnisse (EDT) nach Chronicle exportieren:

  • Malware: Schädliche IP
  • Malware: Schädliche Domain
  • Persistenz: Ungewöhnliche IAM-Gewährung
  • Bruteforce: SSH
  • Exfiltration: BigQuery-Daten-Exfiltration

Weitere Informationen zu ETD finden Sie hier.

Zum Exportieren Ihrer SCC Premium ETD-Ergebnisse nach Chronicle setzen Sie den Schieberegler Premium-Ergebnisse von Security Command Center nach Chronicle exportieren.

Screenshot: Premium-Ergebnisse von Security Command Center aktivieren

GCP-Telemetrieaufnahme deaktivieren

  1. Aktivieren Sie das Kästchen Ich möchte die Verbindung von Chronicle trennen und das Senden von Google Cloud-Logs an Chronicle beenden.

  2. Klicken Sie auf Verbindung zu Chronicle trennen.

    Screenshot: Verbindung zu Chronicle trennen

Nächste Schritte

  • Öffnen Sie Ihr Chronicle-Konto mit der kundenspezifischen URL, die von Ihrem Chronicle-Ansprechpartner bereitgestellt wurde.
  • Weitere Informationen zu Chronicle