Configurar as operações de segurança do Google com o VMware Engine

Este documento descreve como configurar o Google Security Operations (Google SecOps) para melhorar a detecção, a investigação e a resposta a ameaças de segurança cibernética para máquinas virtuais (VMs) em execução no VMware Engine. Além disso, o Google SecOps pode analisar a telemetria da sua infraestrutura do VMware e de outros serviços Google Cloud com suporte.

Visão geral

O Google SecOps é um serviço de nuvem criado como uma camada especializada na infraestrutura do Google, projetado para que as empresas retenham, analisem e pesquisem de forma privada grandes quantidades de telemetria de segurança e de rede que elas geram. O Google SecOps normaliza, indexa, correlaciona e analisa os dados para fornecer análise instantânea e contexto sobre atividades arriscadas ou suspeitas.

Mecanismos de ingestão de dados para o Google SecOps

O Google SecOps oferece vários caminhos para ingestão de dados, conforme detalhado na documentação de ingestão do Google SecOps. O exemplo de configuração neste guia se concentra nos seguintes pontos de integração principais em uma arquitetura representativa:

• Logs do sistema de VMs e cargas de trabalho: para capturar logs originados de VMs e cargas de trabalho, existem vários padrões de arquitetura. O exemplo de configuração neste guia usa um agente do BindPlane do OpenTelemetry implantado diretamente nessas máquinas virtuais. Esse método oferece uma maneira flexível e padronizada de coletar e encaminhar registros do sistema.

• Google Cloud Logs: além dos ambientes virtualizados, a maioria dos projetos dos clientes usa uma variedade de serviços Google Cloud (exceto o VMware Engine neste contexto específico). Para ter visibilidade completa da detecção de ameaças, os registros desses serviços compatíveis podem ser encaminhados para o Google SecOps. O exemplo de configuração a seguir usa o mecanismo de ingestão direta, configurando os filtros do Cloud Logging para encaminhar seletivamente os dados de registro relevantes.

Configurar as operações de segurança do Google com o VMware Engine

Para configurar o Google Security Operations com o VMware Engine, siga estas etapas:

1. Encaminhar registros do sistema de carga de trabalho
2. Criar regras personalizadas
3. Encaminhar Google Cloud registros do Cloud

Encaminhar registros do sistema de carga de trabalho

Para encaminhar os registros do sistema de carga de trabalho de VMs executadas no VMware Engine para o Google SecOps, use um agente de coleta do OpenTelemetry executado nas cargas de trabalho. Estas são as etapas:

1. Siga as instruções do agente do Bindplane antes de começar para instalar o agente e fazer o download do arquivo de autenticação de transferência do Google SecOps. Faça o download do arquivo de autenticação do Google SecOps no portal do Google SecOps.
2. Verifique a configuração do firewall para garantir que as portas relevantes estejam abertas.
3. Instale o agente do Bindplane seguindo as instruções para o SO, Linux ou Windows.

4. Siga as etapas para configurar o agente. Observe os seguintes detalhes ao concluir estas etapas:

   • A seção Receptor especifica quais registros o agente precisa coletar e enviar ao Google SecOps.
   • A seção Exportador especifica o destino para onde os agentes precisam enviar os registros.
   • Esta tarefa usa o exportador do Google SecOps, que envia os registros diretamente para a API de transferência do Google SecOps.

5. Consulte outros exemplos de configuração de coleta de registros para conferir exemplos de arquivos de configuração que você pode usar. Confira a seguir um exemplo específico de como coletar e enviar os logs de eventos do Windows (aplicativo, segurança e sistema) para o Google SecOps. Ele usa o formato de configuração do coletor do OpenTelemetry:

   receivers:
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application:
       attributes:
          log_type: windows_event.application
       channel: application
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security:
       attributes:
          log_type: windows_event.security
       channel: security
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system:
       attributes:
          log_type: windows_event.system
       channel: system
       max_reads: 100
       poll_interval: 1s
       raw: true
       start_at: end
   processors:
   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ:
       detectors:
           -   system
       system:
           hostname_sources:
                -   os
   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs:
       error_mode: ignore
       log_statements:
           -   context: log
             statements:
                 -   set(attributes["chronicle_log_type"], "WINEVTLOG") where true
   exporters:
   chronicle/NA-SDL:
       compression: none
       creds: '{  "type": "service_account",
           "project_id": "malachite-previewamericassdl",
           "private_key_id": "a9c8d8f0b081c09bcf92621804ba19fc6529ecce",
           "private_key": "----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
           "client_email": "previewamericassdl-1710772997@malachite-previewamericassdl.iam.gserviceaccount.com",
           "client_id": "114604545528934473681",
           "auth_uri": "https://accounts.google.com/o/oauth2/auth",
           "token_uri": "https://oauth2.googleapis.com/token",
           "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
           "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/previewamericassdl-1710772997%40malachite-previewamericassdl.iam.gserviceaccount.com",
           "universe_domain": "googleapis.com" }'
       customer_id: a556547c-1cff-43ef-a2e4-cf5b12a865df
       endpoint: malachiteingestion-pa.googleapis.com
       ingestion_labels:
           env: takeshi
       log_type: CATCH_ALL
       namespace: null
       raw_log_field: body
       retry_on_failure:
           enabled: true
           initial_interval: 5s
           max_elapsed_time: 300s
           max_interval: 30s
       sending_queue:
           enabled: true
           num_consumers: 10
           queue_size: 5000
           storage: file_storage/NA-SDL
   extensions:
   file_storage/NA-SDL:
       compaction:
           directory: $OIQ_OTEL_COLLECTOR_HOME/storage
           on_rebound: true
       directory: $OIQ_OTEL_COLLECTOR_HOME/storage
   service:
   extensions:
       -   file_storage/NA-SDL
   pipelines:
       logs/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_NA-SDL-0:
           receivers:
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security
               -   windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system
           processors:
               -   resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ
               -   transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs
           exporters:
               -   chronicle/NA-SDL

6. Reinicie o coletor depois que a configuração for concluída e verifique se os registros foram preenchidos no painel do Google SecOps.

Criar regras personalizadas para a detecção de ameaças

O Google SecOps oferece regras e detecções padrão e selecionadas projetadas para identificar ameaças de segurança cibernética de forma eficaz. Além dos recursos padrão, é possível criar regras personalizadas para gerar alertas adaptados a um ambiente específico e às preocupações de segurança dele. Para uma detecção de ameaças mais sofisticada, o Google SecOps permite o uso de várias regras de evento. Isso permite rastrear e correlacionar eventos de segurança relacionados ao longo do tempo, o que facilita a identificação de padrões de ataque complexos que podem não ser aparentes em incidentes isolados.

Encaminhar Google Cloud registros do Cloud

Para configurar a transferência de dados de Google Cloud para o Google SecOps usando a transferência direta, faça o seguinte:

1. Siga as etapas em Como ingerir dados Google Cloud para o Google SecOps para configurar os registros.
2. Ative a ingestão e análise de dados no Cloud Logging na guia Configurações de ingestão globais.
3. Analise a lista de serviços Google Cloud compatíveis com a ingestão de registros para identificar os serviços Google Cloud mais importantes para suas necessidades de monitoramento de segurança. Consulte Exportar registros de gcp_name.
4. Modifique o filtro de exportação padrão conforme necessário na guia Configurações do filtro de exportação para incluir os registros específicos necessários. O exemplo a seguir é uma cópia do filtro de exportação usado para este documento:

   log_id("dns.googleapis.com/dns_queries") OR log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event") OR
   ( log_id("cloudaudit.googleapis.com/data_access")
   AND NOT protoPayload.methodName =~ "^storage.(buckets|objects).(get|list)$"
   AND NOT protoPayload.request.cmd = "select" ) OR
   log_id("cloudaudit.googleapis.com/policy") OR
   log_id("cloudaudit.googleapis.com/access_transparency") OR
   log_id("compute.googleapis.com/nat_flows") OR
   log_id("compute.googleapis.com/firewall") OR
   log_id("requests") OR
   logName =~ "^projects/[\w-]+/logs/syslog$" OR
   logName =~ "^projects/[\w-]+/logs/authlog$" OR
   log_id("securelog") OR
   log_id("sysmon.raw") OR
   logName =~ "^projects/[\w-]+/logs/windows_event_log$" OR
   log_id("windows_event_log") OR
   log_id("events") OR
   log_id("stdout") OR
   log_id("stderr") OR
   log_id("audit_log") OR
   log_id("recaptchaenterprise.googleapis.com/assessment") OR
   log_id("recaptchaenterprise.googleapis.com/annotation") OR
   log_id("cloudaudit.googleapis.com/activity")

A seguir

• Saiba como ingrir Google Cloud dados para o Google SecOps.
• Revise os componentes de VMware da nuvem privada.