Mengonfigurasi Google Security Operations dengan VMware Engine

Dokumen ini menjelaskan cara mengonfigurasi Google Security Operations (Google SecOps) untuk meningkatkan deteksi, investigasi, dan respons terhadap ancaman keamanan cyber untuk virtual machine (VM) yang berjalan di VMware Engine. Selain itu, Google SecOps dapat menganalisis telemetri dari infrastruktur VMware dan layanan Google Cloud lain yang didukung.

Ringkasan

Google SecOps adalah layanan cloud, yang dibuat sebagai lapisan khusus di atas infrastruktur Google, yang dirancang untuk perusahaan agar dapat menyimpan, menganalisis, dan menelusuri secara pribadi telemetri keamanan dan jaringan dalam jumlah besar yang mereka hasilkan. Google SecOps menormalisasi, mengindeks, menghubungkan, dan menganalisis data untuk memberikan analisis dan konteks instan tentang aktivitas yang berisiko atau mencurigakan.

Mekanisme penyerapan data untuk Google SecOps

Google SecOps menawarkan beberapa jalur untuk penyerapan data, seperti yang dijelaskan dalam dokumentasi penyerapan Google SecOps. Contoh konfigurasi dalam panduan ini berfokus pada titik integrasi utama berikut dalam arsitektur perwakilan:

• Log sistem VM dan workload: Untuk mengambil log yang berasal dari VM dan workload, ada beberapa pola arsitektur. Contoh konfigurasi dalam panduan ini menggunakan agen BindPlane OpenTelemetry yang di-deploy langsung dalam virtual machine ini. Metode ini menyediakan cara yang fleksibel dan standar untuk mengumpulkan dan meneruskan log sistem.

• Google Cloud Log: Selain lingkungan virtual, sebagian besar project pelanggan menggunakan berbagai layanan Google Cloud (tidak termasuk VMware Engine dalam konteks khusus ini). Untuk mendapatkan visibilitas komprehensif untuk deteksi ancaman, log dari layanan yang didukung ini dapat diarahkan ke Google SecOps. Contoh konfigurasi yang berikut menggunakan mekanisme penyerapan langsung, yang mengonfigurasi filter Cloud Logging untuk merutekan data log yang relevan secara selektif.

Mengonfigurasi Google Security Operations dengan VMware Engine

Untuk mengonfigurasi Google Security Operations dengan VMware Engine, selesaikan langkah-langkah berikut:

1. Mengirim Log Sistem Workload
2. Membuat aturan kustom
3. Teruskan Google Cloud log cloud

Mengirim Log sistem beban kerja

Untuk meneruskan log sistem beban kerja untuk VM yang berjalan dalam VMware Engine ke Google SecOps, Anda dapat menggunakan agen pengumpulan OpenTelemetry yang berjalan dalam beban kerja. Langkah-langkahnya adalah sebagai berikut:

1. Ikuti petunjuk agen Bindplane sebelum Anda memulai untuk menginstal agen dan mendownload file autentikasi penyerapan Google SecOps. Anda dapat mendownload file autentikasi Google SecOps dari portal Google SecOps.
2. Verifikasi konfigurasi firewall untuk memastikan port firewall yang relevan terbuka.
3. Instal agen Bindplane dengan mengikuti petunjuk untuk OS Anda, baik Linux maupun Windows.

4. Selesaikan langkah-langkah untuk mengonfigurasi agen. Perhatikan detail berikut saat menyelesaikan langkah-langkah ini:

   • Bagian Penerima menentukan log mana yang harus dikumpulkan dan dikirim oleh agen ke Google SecOps.
   • Bagian Eksportir menentukan tujuan tempat agen harus mengirim log.
   • Tugas ini menggunakan eksportir Google SecOps, yang mengirim log langsung ke API penyerapan Google SecOps.

5. Lihat contoh konfigurasi pengumpulan log tambahan untuk mengetahui contoh file konfigurasi yang dapat Anda gunakan. Berikut adalah contoh spesifik untuk mengumpulkan Log Peristiwa Windows (Aplikasi, Keamanan, dan Sistem) dan mengirimkannya ke Google SecOps. File ini menggunakan format konfigurasi OpenTelemetry Collector:

   receivers:
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application:
       attributes:
          log_type: windows_event.application
       channel: application
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security:
       attributes:
          log_type: windows_event.security
       channel: security
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system:
       attributes:
          log_type: windows_event.system
       channel: system
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   processors:
   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ:
       detectors:
           -   system
       system:
           hostname_sources:
                -   os
   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs:
       error_mode: ignore
       log_statements:
           -   context: log
             statements:
                 -   set(attributes["chronicle_log_type"], "WINEVTLOG") where true
   exporters:
   chronicle/NA-SDL:
       compression: none
       creds: '{  "type": "service_account",
           "project_id": "malachite-previewamericassdl",
           "private_key_id": "a9c8d8f0b081c09bcf92621804ba19fc6529ecce",
           "private_key": "----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
           "client_email": "previewamericassdl-1710772997@malachite-previewamericassdl.iam.gserviceaccount.com",
           "client_id": "114604545528934473681",
           "auth_uri": "https://accounts.google.com/o/oauth2/auth",
           "token_uri": "https://oauth2.googleapis.com/token",
           "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
           "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/previewamericassdl-1710772997%40malachite-previewamericassdl.iam.gserviceaccount.com",
           "universe_domain": "googleapis.com" }'
       customer_id: a556547c-1cff-43ef-a2e4-cf5b12a865df
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
           env: takeshi
       log_type: CATCH_ALL
       namespace: null
       raw_log_field: body
       retry_on_failure:
           enabled: true
           initial_interval: 5s
           max_elapsed_time: 300s
           max_interval: 30s
       sending_queue:
           enabled: true
           num_consumers: 10
           queue_size: 5000
           storage: file_storage/NA-SDL
   extensions:
   file_storage/NA-SDL:
       compaction:
           directory: $OIQ_OTEL_COLLECTOR_HOME/storage
           on_rebound: true
       directory: $OIQ_OTEL_COLLECTOR_HOME/storage
   service:
   extensions:
       -   file_storage/NA-SDL
   pipelines:
       logs/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_NA-SDL-0:
           receivers:
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system
           processors:
               -   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ
               -   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs
           exporters:
               -   chronicle/NA-SDL

6. Mulai ulang kolektor setelah konfigurasi selesai, dan pastikan log diisi di dasbor Google SecOps.

Membuat aturan kustom untuk deteksi ancaman

Google SecOps menyediakan aturan dan deteksi default yang diseleksi dan dirancang untuk mengidentifikasi ancaman keamanan cyber secara efektif. Selain fitur default, Anda dapat membuat aturan kustom untuk membuat pemberitahuan yang disesuaikan dengan lingkungan tertentu dan masalah keamanannya. Untuk deteksi ancaman yang lebih canggih, Google SecOps memungkinkan penggunaan beberapa aturan peristiwa. Hal ini memungkinkan pelacakan dan korelasi peristiwa keamanan terkait dari waktu ke waktu, yang memfasilitasi identifikasi pola serangan kompleks yang mungkin tidak terlihat dari insiden terisolasi.

Meneruskan Google Cloud log cloud

Untuk mengonfigurasi penyerapan data Google Cloud ke dalam Google SecOps menggunakan penyerapan langsung, lakukan hal berikut:

1. Ikuti langkah-langkah di Menyerap Google Cloud data ke Google SecOps untuk menyiapkan log.
2. Aktifkan serap dan analisis data dari Cloud Logging di tab Setelan Penyerapan Global.
3. Tinjau daftar layanan Google Cloud yang didukung untuk penyerapan log guna mengidentifikasi Google Cloud layanan yang paling penting untuk kebutuhan pemantauan keamanan Anda. Lihat Mengekspor log gcp_name.
4. Ubah filter ekspor default sesuai kebutuhan di tab Setelan Filter Ekspor untuk menyertakan log tertentu yang Anda perlukan. Contoh berikut adalah salinan filter ekspor yang digunakan untuk dokumen ini:

   log_id("dns.googleapis.com/dns_queries") OR log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event") OR
   ( log_id("cloudaudit.googleapis.com/data_access")
   AND NOT protoPayload.methodName =~ "^storage.(buckets|objects).(get|list)$"
   AND NOT protoPayload.request.cmd = "select" ) OR
   log_id("cloudaudit.googleapis.com/policy") OR
   log_id("cloudaudit.googleapis.com/access_transparency") OR
   log_id("compute.googleapis.com/nat_flows") OR
   log_id("compute.googleapis.com/firewall") OR
   log_id("requests") OR
   logName =~ "^projects/[\w-]+/logs/syslog$" OR
   logName =~ "^projects/[\w-]+/logs/authlog$" OR
   log_id("securelog") OR
   log_id("sysmon.raw") OR
   logName =~ "^projects/[\w-]+/logs/windows_event_log$" OR
   log_id("windows_event_log") OR
   log_id("events") OR
   log_id("stdout") OR
   log_id("stderr") OR
   log_id("audit_log") OR
   log_id("recaptchaenterprise.googleapis.com/assessment") OR
   log_id("recaptchaenterprise.googleapis.com/annotation") OR
   log_id("cloudaudit.googleapis.com/activity")

Langkah berikutnya

• Pelajari cara menyerap Google Cloud data ke Google SecOps.
• Tinjau komponen VMware cloud pribadi.