Configurare Google Security Operations con VMware Engine

Questo documento descrive come configurare Google Security Operations (Google SecOps) per migliorare il rilevamento, le indagini e la risposta alle minacce di cybersicurezza per le macchine virtuali (VM) in esecuzione su VMware Engine. Inoltre, Google SecOps può analizzare i dati di telemetria della tua infrastruttura VMware e di altri Google Cloud servizi supportati.

Panoramica

Google SecOps è un servizio cloud, creato come livello specializzato sull'infrastruttura di Google, progettato per consentire alle aziende di conservare, analizzare e cercare in privato le grandi quantità di dati di telemetria di sicurezza e di rete che generano. Google SecOps normalizza, indicizza, correla e analizza i dati per fornire analisi e contesto istantanei sulle attività rischiose o sospette.

Meccanismi di importazione dei dati per Google SecOps

Google SecOps offre più percorsi per l'importazione dati, come dettagliato nella documentazione sull'importazione di Google SecOps. L'esempio di configurazione in questa guida si concentra sui seguenti punti di integrazione chiave all'interno di un'architettura rappresentativa:

• Log di sistema di VM e carichi di lavoro: per acquisire i log provenienti da VM e carichi di lavoro, esistono diversi pattern di architettura. L'esempio di configurazione in questa guida utilizza un agente OpenTelemetry BindPlane di cui è stato eseguito il deployment direttamente all'interno di queste macchine virtuali. Questo metodo fornisce un modo flessibile e standardizzato per raccogliere e inoltrare i log di sistema.

• Google Cloud Log: oltre agli ambienti virtualizzati, la maggior parte dei progetti dei clienti utilizza una serie di Google Cloud servizi (escluso VMware Engine in questo contesto specifico). Per ottenere una visibilità completa per il rilevamento delle minacce, i log di questi servizi supportati possono essere incanalati in Google SecOps. L'esempio di configurazione che segue utilizza il meccanismo di importazione diretta, configurando i filtri di Cloud Logging per instradare in modo selettivo i dati dei log pertinenti.

Configurare Google Security Operations con VMware Engine

Per configurare Google Security Operations con VMware Engine, completa i seguenti passaggi:

1. Inoltra i log di sistema del carico di lavoro
2. Creare regole personalizzate
3. Inoltra Google Cloud i log cloud

Inoltra i log di sistema del workload

Per inoltrare i log di sistema dei carichi di lavoro per le VM in esecuzione in VMware Engine a Google SecOps, puoi utilizzare un agente di raccolta OpenTelemetry in esecuzione nei carichi di lavoro. I passaggi sono i seguenti:

1. Segui le istruzioni dell'agente Bindplane prima di iniziare per installare l'agente e scaricare il file di autenticazione per l'importazione di Google SecOps. Puoi scaricare il file di autenticazione di Google SecOps dal portale Google SecOps.
2. Verifica la configurazione del firewall per assicurarti che le porte del firewall pertinenti siano aperte.
3. Installa l'agente Bindplane seguendo le istruzioni per il tuo sistema operativo, Linux o Windows.

4. Completa i passaggi per configurare l'agente. Tieni presente i seguenti dettagli durante l'esecuzione di questi passaggi:

   • La sezione Destinatario specifica quali log l'agente deve raccogliere e inviare a Google SecOps.
   • La sezione Esportatore specifica la destinazione a cui gli agenti devono inviare i log.
   • Questa attività utilizza l'esportatore di Google SecOps, che invia i log direttamente all'API di importazione di Google SecOps.

5. Consulta ulteriori esempi di configurazione della raccolta dei log per i file di configurazione di esempio che puoi utilizzare. Di seguito è riportato un esempio specifico per la raccolta dei log eventi di Windows (applicazioni, sicurezza e sistema) e il loro invio a Google SecOps. Utilizza il formato di configurazione del raccoglitore OpenTelemetry:

   receivers:
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application:
       attributes:
          log_type: windows_event.application
       channel: application
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security:
       attributes:
          log_type: windows_event.security
       channel: security
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system:
       attributes:
          log_type: windows_event.system
       channel: system
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   processors:
   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ:
       detectors:
           -   system
       system:
           hostname_sources:
                -   os
   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs:
       error_mode: ignore
       log_statements:
           -   context: log
             statements:
                 -   set(attributes["chronicle_log_type"], "WINEVTLOG") where true
   exporters:
   chronicle/NA-SDL:
       compression: none
       creds: '{  "type": "service_account",
           "project_id": "malachite-previewamericassdl",
           "private_key_id": "a9c8d8f0b081c09bcf92621804ba19fc6529ecce",
           "private_key": "----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
           "client_email": "previewamericassdl-1710772997@malachite-previewamericassdl.iam.gserviceaccount.com",
           "client_id": "114604545528934473681",
           "auth_uri": "https://accounts.google.com/o/oauth2/auth",
           "token_uri": "https://oauth2.googleapis.com/token",
           "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
           "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/previewamericassdl-1710772997%40malachite-previewamericassdl.iam.gserviceaccount.com",
           "universe_domain": "googleapis.com" }'
       customer_id: a556547c-1cff-43ef-a2e4-cf5b12a865df
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
           env: takeshi
       log_type: CATCH_ALL
       namespace: null
       raw_log_field: body
       retry_on_failure:
           enabled: true
           initial_interval: 5s
           max_elapsed_time: 300s
           max_interval: 30s
       sending_queue:
           enabled: true
           num_consumers: 10
           queue_size: 5000
           storage: file_storage/NA-SDL
   extensions:
   file_storage/NA-SDL:
       compaction:
           directory: $OIQ_OTEL_COLLECTOR_HOME/storage
           on_rebound: true
       directory: $OIQ_OTEL_COLLECTOR_HOME/storage
   service:
   extensions:
       -   file_storage/NA-SDL
   pipelines:
       logs/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_NA-SDL-0:
           receivers:
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system
           processors:
               -   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ
               -   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs
           exporters:
               -   chronicle/NA-SDL

6. Riavvia il collector al termine della configurazione e verifica che i log siano compilati nella dashboard Google SecOps.

Creare regole personalizzate per il rilevamento delle minacce

Google SecOps fornisce regole e rilevamenti selezionati e predefiniti progettati per identificare in modo efficace le minacce alla cybersicurezza. Oltre alle funzionalità predefinite, puoi creare regole personalizzate per generare avvisi personalizzati per un ambiente specifico e i relativi problemi di sicurezza. Per un rilevamento delle minacce più sofisticato, Google SecOps consente l'utilizzo di più regole evento. Ciò consente di monitorare e correlata gli eventi di sicurezza correlati nel tempo, il che facilita l'identificazione di pattern di attacco complessi che potrebbero non essere evidenti da incidenti isolati.

Inoltra Google Cloud log di cloud

Per configurare l'importazione dei Google Cloud dati in Google SecOps utilizzando l'importazione diretta, segui questi passaggi:

1. Per configurare i log, segui i passaggi descritti in Importare Google Cloud i dati in Google SecOps.
2. Attiva l'importazione e l'analisi dei dati da Cloud Logging nella scheda Impostazioni di importazione globali.
3. Esamina l'elenco dei Google Cloud servizi supportati per l'importazione dei log per identificare i Google Cloud servizi più importanti per le tue esigenze di monitoraggio della sicurezza. Consulta Esportare i log gcp_name.
4. Modifica il filtro di esportazione predefinito in base alle esigenze nella scheda Impostazioni filtro di esportazione per includere i log specifici richiesti. L'esempio seguente è una copia del filtro di esportazione utilizzato per questo documento:

   log_id("dns.googleapis.com/dns_queries") OR log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event") OR
   ( log_id("cloudaudit.googleapis.com/data_access")
   AND NOT protoPayload.methodName =~ "^storage.(buckets|objects).(get|list)$"
   AND NOT protoPayload.request.cmd = "select" ) OR
   log_id("cloudaudit.googleapis.com/policy") OR
   log_id("cloudaudit.googleapis.com/access_transparency") OR
   log_id("compute.googleapis.com/nat_flows") OR
   log_id("compute.googleapis.com/firewall") OR
   log_id("requests") OR
   logName =~ "^projects/[\w-]+/logs/syslog$" OR
   logName =~ "^projects/[\w-]+/logs/authlog$" OR
   log_id("securelog") OR
   log_id("sysmon.raw") OR
   logName =~ "^projects/[\w-]+/logs/windows_event_log$" OR
   log_id("windows_event_log") OR
   log_id("events") OR
   log_id("stdout") OR
   log_id("stderr") OR
   log_id("audit_log") OR
   log_id("recaptchaenterprise.googleapis.com/assessment") OR
   log_id("recaptchaenterprise.googleapis.com/annotation") OR
   log_id("cloudaudit.googleapis.com/activity")

Passaggi successivi

• Scopri come importare Google Cloud i dati in Google SecOps.
• Esamina i componenti VMware per il cloud privato.