Ingérer des journaux GCP dans Chronicle

Cette page explique comment activer et désactiver l'ingestion de vos données de télémétrie GCP dans Chronicle. Chronicle vous permet de stocker, de rechercher et d'examiner les informations de sécurité agrégées de votre entreprise qui remontent à plusieurs mois ou plus.

Avant de commencer

Avant de pouvoir ingérer votre télémétrie GCP dans votre compte Chronicle, procédez comme suit :

  1. Contactez votre conseiller Chronicle et obtenez le code d'accès unique nécessaire à l'ingestion de votre télémétrie GCP.

  2. Pour accorder les rôles IAM requis pour accéder à la section Chronicle, procédez comme suit :

    • Rôle IAM Administrateur de services Chronicle pour effectuer toutes les activités.
    • Rôle IAM Lecteur de service Chronicle pour n'afficher que l'état de l'ingestion.

Attribuer des rôles IAM

Vous pouvez attribuer les rôles IAM requis à l'aide de Google Cloud Console ou de la CLI gcloud.

Pour attribuer des rôles IAM à l'aide de Google Cloud Console, procédez comme suit :

  1. Connectez-vous à l'organisation GCP à laquelle vous souhaitez vous connecter, puis accédez à l'écran IAM à l'aide de la section Produits > IAM et Administration > IAM.

  2. Sur l'écran IAM, sélectionnez l'utilisateur, puis cliquez sur Modifier le membre.

  3. Sur l'écran "Modifier les autorisations", cliquez sur Ajouter un autre rôle et recherchez Chronicle pour trouver les rôles IAM.

  4. Une fois que vous avez attribué les rôles, cliquez sur Enregistrer.

Pour attribuer des rôles IAM à l'aide de la CLI Google Cloud, procédez comme suit:

  1. Vérifiez que vous êtes connecté à la bonne organisation. Pour effectuer la vérification, exécutez la commande gcloud init.

  2. Pour attribuer le rôle IAM d'administrateur à partir de l'outil gcloud, exécutez la commande suivante :

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Pour attribuer le rôle IAM de lecteur à partir de l'outil gcloud, exécutez la commande suivante :

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

Activer l'ingestion de données de télémétrie GCP

Pour activer l'ingestion de télémétrie GCP dans votre compte Chronicle, procédez comme suit :

  1. Accédez à la page "Chronicle" de Google Cloud Console.
    Accéder à la page "Chronicle"

  2. Saisissez votre code d'accès unique dans le champ 1-time Chronicle access code (Code d'accès unique Chronicle).

  3. Cochez la case intitulée I consent to the terms and conditions of Chronicle's usage of my Google Cloud data (J'accepte les conditions d'utilisation de Chronicle liées à l'exploitation de mes données Google Cloud).

  4. Cliquez sur Connect Chronicle.

    Page de Connect Chronicle

Votre télémétrie GCP sera désormais envoyée à Chronicle. Vous pouvez utiliser les fonctionnalités d'analyse de Chronicle pour examiner tout problème lié à la sécurité. Les sections suivantes décrivent comment ajuster les types de télémétrie GCP qui seront envoyés à Chronicle.

Exporter des journaux Google Cloud vers Chronicle

Pour exporter vos journaux Google Cloud vers Chronicle, activez l'option Export Cloud logs to Chronicle (Exporter les journaux Cloud vers Chronicle).

Exporter des journaux Google Cloud

Exporter des métadonnées d'éléments Google Cloud vers Chronicle

Vous pouvez exporter vos métadonnées d'éléments Google Cloud vers Chronicle. Ces métadonnées d'éléments sont extraites de votre inventaire d'éléments Google Cloud et comprennent des informations sur vos éléments, vos ressources et vos identités, dont les informations suivantes :

  • Environnement
  • Emplacement
  • Zone
  • Modèles de matériel

Voici quelques exemples de métadonnées d'éléments Google Cloud :

  • Nom de l'application : Google-iamSample/0.1
  • Nom du projet : projects/my-project

Pour exporter vos métadonnées d'éléments Google Cloud vers Chronicle, activez l'option Exporter les métadonnées d'éléments cloud vers Chronicle.

Activez les métadonnées d'éléments cloud.

Exporter les résultats de Security Command Center vers Chronicle

Vous pouvez exporter les résultats ETD (Event Threat Detection) suivants de SCC Premium vers Chronicle :

  • Logiciel malveillant : adresse IP malveillante
  • Logiciel malveillant : domaine malveillant
  • Persistance : Octroi anormal d'autorisations IAM
  • Attaques par force brute : SSH
  • Exfiltration : exfiltration de données BigQuery

Pour en savoir plus sur ETD, cliquez ici.

Pour exporter vos résultats ETD Premium de SCC vers Chronicle, activez le bouton Exporter les résultats de Security Command Center Premium vers Chronicle.

Activez les résultats de Security Command Center Premium.

Désactiver l'ingestion de données de télémétrie GCP

  1. Cochez la case I want to disconnect Chronicle and stop sending Google Cloud Logs into Chronicle (Je souhaite déconnecter Chronicle, puis arrêter d'envoyer des journaux Google Cloud à Chronicle).

  2. Cliquez sur Disconnect Chronicle (Déconnecter Chronicle).

    Déconnecter Chronicle.

Étape suivante

  • Ouvrez votre compte Chronicle à l'aide de l'URL spécifique à votre client, fournie par votre conseiller Chronicle.
  • Apprenez-en plus sur Chronicle