Mengumpulkan file IOC Kustom CSV
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap file IOC Kustom CSV ke Google Security Operations menggunakan Google Cloud Storage, lalu memetakan kolom ini ke UDM, menangani berbagai jenis data seperti IP, domain, dan hash, serta memperkaya output dengan detail ancaman, informasi entitas, dan tingkat keparahan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akses ke satu atau beberapa URL feed IOC CSV (HTTPS) atau endpoint internal yang menayangkan CSV
Membuat bucket Google Cloud Storage
- Buka Google Cloud Console.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, csv-ioc-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Lokasi Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Buat.
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
csv-ioc-collector-sa. - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect CSV IOC files.
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Selesai.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
csv-ioc-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Tetapkan peran: Pilih Storage Object Admin.
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di GCP Console, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
csv-ioc-trigger. - Biarkan setelan lainnya tetap default.
- ID Topik: Masukkan
- Klik Buat.
Membuat fungsi Cloud Run untuk mengumpulkan file IOC CSV
Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil file CSV IOC dari endpoint HTTPS dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan csv-ioc-collectorWilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (
csv-ioc-trigger). - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (
csv-ioc-collector-sa).
- Akun layanan: Pilih akun layanan (
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETcsv-ioc-logsNama bucket GCS GCS_PREFIXcsv-iocAwalan untuk file log IOC_URLShttps://ioc.example.com/feed.csv,https://another.example.org/iocs.csvURL HTTPS yang dipisahkan koma AUTH_HEADERAuthorization: Bearer <token>Header autentikasi opsional TIMEOUT60Waktu tunggu permintaan dalam detik Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit).
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi.
- CPU: Pilih 1.
- Klik Selesai.
- Di bagian Materi:
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan
0. - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban).
- Jumlah minimum instance: Masukkan
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di Function entry point
Di editor kode inline, buat dua file:
- File pertama: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch CSV IOC feeds over HTTPS and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'csv-ioc').strip('/') ioc_urls_str = os.environ.get('IOC_URLS', '') auth_header = os.environ.get('AUTH_HEADER', '') timeout = int(os.environ.get('TIMEOUT', '60')) ioc_urls = [u.strip() for u in ioc_urls_str.split(',') if u.strip()] if not bucket_name: print('Error: GCS_BUCKET environment variable is required') return if not ioc_urls: print('Error: IOC_URLS must contain at least one HTTPS URL') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) run_ts = int(time.time()) written = [] for i, url in enumerate(ioc_urls): print(f'Processing URL {i+1}/{len(ioc_urls)}: {url}') # Build request req_headers = {'Accept': 'text/csv, */*'} # Add authentication header if provided if auth_header: if ':' in auth_header: k, v = auth_header.split(':', 1) req_headers[k.strip()] = v.strip() else: req_headers['Authorization'] = auth_header.strip() # Fetch data with retries data = fetch_with_retries(url, req_headers, timeout) if data: # Write to GCS key = generate_blob_name(prefix, url, run_ts, i) blob = bucket.blob(key) blob.upload_from_string(data, content_type='text/csv') written.append({ 'url': url, 'gcs_key': key, 'bytes': len(data) }) print(f'Wrote {len(data)} bytes to gs://{bucket_name}/{key}') else: print(f'Warning: No data retrieved from {url}') print(f'Successfully processed {len(written)} URLs') print(json.dumps({'ok': True, 'written': written}, indent=2)) except Exception as e: print(f'Error processing CSV IOC feeds: {str(e)}') raise def fetch_with_retries(url, headers, timeout, max_retries=5): """Fetch data from URL with retry logic for 429/5xx errors.""" if not url.lower().startswith('https://'): raise ValueError('Only HTTPS URLs are allowed in IOC_URLS') attempt = 0 backoff = 1.0 while attempt < max_retries: try: response = http.request('GET', url, headers=headers, timeout=timeout) if response.status == 200: return response.data.decode('utf-8') elif response.status == 429 or (500 <= response.status < 600): print(f'Received status {response.status}, retrying in {backoff}s (attempt {attempt+1}/{max_retries})') time.sleep(backoff) attempt += 1 backoff *= 2 else: print(f'Error: Received unexpected status {response.status} from {url}') return None except Exception as e: if attempt < max_retries - 1: print(f'Request failed: {str(e)}, retrying in {backoff}s (attempt {attempt+1}/{max_retries})') time.sleep(backoff) attempt += 1 backoff *= 2 else: raise print(f'Max retries exceeded for {url}') return None def generate_blob_name(prefix, url, run_ts, idx): """Generate a unique blob name for the CSV file.""" # Create a short, filesystem-safe token for the URL safe_url = url.replace('://', '_').replace('/', '_').replace('?', '_').replace('&', '_')[:100] # Generate timestamp-based path timestamp_path = time.strftime('%Y/%m/%d/%H%M%S', time.gmtime(run_ts)) return f"{prefix}/{timestamp_path}-url{idx:03d}-{safe_url}.csv"- File kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama csv-ioc-collector-hourlyWilayah Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih topik Pub/Sub ( csv-ioc-trigger)Isi pesan {}(objek JSON kosong)Klik Buat.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
Frekuensi Ekspresi Cron Kasus Penggunaan Setiap 5 menit */5 * * * *Volume tinggi, latensi rendah Setiap 15 menit */15 * * * *Volume sedang Setiap jam 0 * * * *Standar (direkomendasikan) Setiap 6 jam 0 */6 * * *Volume rendah, pemrosesan batch Harian 0 0 * * *Pengumpulan data historis
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda (
csv-ioc-collector-hourly). - Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik nama fungsi Anda (
csv-ioc-collector). - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari hal berikut:
Processing URL 1/X: https://... Wrote X bytes to gs://csv-ioc-logs/csv-ioc/YYYY/MM/DD/HHMMSS-url000-...csv Successfully processed X URLsBuka Cloud Storage > Buckets.
Klik nama bucket Anda (
csv-ioc-logs).Buka folder awalan (
csv-ioc/).Pastikan file
.csvbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401/403: Periksa variabel lingkungan AUTH_HEADER
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan
- Hanya URL HTTPS yang diizinkan: Verifikasi bahwa IOC_URLS hanya berisi URL HTTPS
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
CSV Custom IOC). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih CSV Custom IOC sebagai Log type.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (
csv-ioc-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.
Mengonfigurasi feed di Google SecOps untuk memproses file IOC Kustom CSV
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
CSV Custom IOC). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih CSV Custom IOC sebagai Log type.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://csv-ioc-logs/csv-ioc/Ganti:
csv-ioc-logs: Nama bucket GCS Anda.csv-ioc: Awalan/jalur folder opsional tempat log disimpan.
Contoh:
- Bucket root:
gs://csv-ioc-logs/ - Dengan awalan:
gs://csv-ioc-logs/csv-ioc/ - Dengan subfolder:
gs://csv-ioc-logs/ioc-feeds/
- Bucket root:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| asn | entity.metadata.threat.detection_fields.asn_label.value | Dipetakan langsung dari kolom "asn". |
| kategori | entity.metadata.threat.category_details | Dipetakan langsung dari kolom "category". |
| klasifikasi | entity.metadata.threat.category_details | Ditambahkan ke "classification - " dan dipetakan ke kolom "entity.metadata.threat.category_details". |
| kolom2 | entity.entity.hostname | Dipetakan ke "entity.entity.hostname" jika [category] cocok dengan ". ?ip" atau ". ?proxy" dan [not_ip] bernilai benar (true). |
| kolom2 | entity.entity.ip | Digabungkan ke "entity.entity.ip" jika [category] cocok dengan ". ?ip" atau ". ?proxy" dan [not_ip] adalah salah (false). |
| keyakinan | entity.metadata.threat.confidence_score | Dikonversi menjadi float dan dipetakan ke kolom "entity.metadata.threat.confidence_score". |
| country | entity.entity.location.country_or_region | Dipetakan langsung dari kolom "country". |
| date_first | entity.metadata.threat.first_discovered_time | Diuraikan sebagai ISO8601 dan dipetakan ke kolom "entity.metadata.threat.first_discovered_time". |
| date_last | entity.metadata.threat.last_updated_time | Diuraikan sebagai ISO8601 dan dipetakan ke kolom "entity.metadata.threat.last_updated_time". |
| detail | entity.metadata.threat.summary | Dipetakan langsung dari kolom "detail". |
| detail2 | entity.metadata.threat.description | Dipetakan langsung dari kolom "detail2". |
| domain | entity.entity.hostname | Dipetakan langsung dari kolom "domain". |
| entity.entity.user.email_addresses | Digabungkan ke kolom "entity.entity.user.email_addresses". | |
| id | entity.metadata.product_entity_id | Ditambahkan ke "id - " dan dipetakan ke kolom "entity.metadata.product_entity_id". |
| import_session_id | entity.metadata.threat.detection_fields.import_session_id_label.value | Dipetakan langsung dari kolom "import_session_id". |
| itype | entity.metadata.threat.detection_fields.itype_label.value | Dipetakan langsung dari kolom "itype". |
| lat | entity.entity.location.region_latitude | Dikonversi menjadi float dan dipetakan ke kolom "entity.entity.location.region_latitude". |
| lon | entity.entity.location.region_longitude | Dikonversi menjadi float dan dipetakan ke kolom "entity.entity.location.region_longitude". |
| maltype | entity.metadata.threat.detection_fields.maltype_label.value | Dipetakan langsung dari kolom "maltype". |
| md5 | entity.entity.file.md5 | Dipetakan langsung dari kolom "md5". |
| media | entity.metadata.threat.detection_fields.media_label.value | Dipetakan langsung dari kolom "media". |
| media_type | entity.metadata.threat.detection_fields.media_type_label.value | Dipetakan langsung dari kolom "media_type". |
| org | entity.metadata.threat.detection_fields.org_label.value | Dipetakan langsung dari kolom "org". |
| resource_uri | entity.entity.url | Dipetakan ke "entity.entity.url" jika [itype] tidak cocok dengan "(ip |
| resource_uri | entity.metadata.threat.url_back_to_product | Dipetakan ke "entity.metadata.threat.url_back_to_product" jika [itype] cocok dengan "(ip |
| skor | entity.metadata.threat.confidence_details | Dipetakan langsung dari kolom "score". |
| tingkat keseriusan, | entity.metadata.threat.severity | Dikonversi menjadi huruf besar dan dipetakan ke kolom "entity.metadata.threat.severity" jika cocok dengan "LOW", "MEDIUM", "HIGH", atau "CRITICAL". |
| source | entity.metadata.threat.detection_fields.source_label.value | Dipetakan langsung dari kolom "source". |
| source_feed_id | entity.metadata.threat.detection_fields.source_feed_id_label.value | Dipetakan langsung dari kolom "source_feed_id". |
| srcip | entity.entity.ip | Digabungkan ke "entity.entity.ip" jika [srcip] tidak kosong dan tidak sama dengan [value]. |
| dengan status tersembunyi akhir | entity.metadata.threat.detection_fields.state_label.value | Dipetakan langsung dari kolom "state". |
| trusted_circle_ids | entity.metadata.threat.detection_fields.trusted_circle_ids_label.value | Dipetakan langsung dari kolom "trusted_circle_ids". |
| update_id | entity.metadata.threat.detection_fields.update_id_label.value | Dipetakan langsung dari kolom "update_id". |
| nilai | entity.entity.file.full_path | Dipetakan ke "entity.entity.file.full_path" jika [category] cocok dengan ".*?file". |
| nilai | entity.entity.file.md5 | Dipetakan ke "entity.entity.file.md5" jika [category] cocok dengan ".*?md5" dan [value] adalah string heksadesimal 32 karakter. |
| nilai | entity.entity.file.sha1 | Dipetakan ke "entity.entity.file.sha1" jika ([category] cocok dengan ". ?md5" dan [value] adalah string heksadesimal 40 karakter) atau ([category] cocok dengan ". ?sha1" dan [value] adalah string heksadesimal 40 karakter). |
| nilai | entity.entity.file.sha256 | Dipetakan ke "entity.entity.file.sha256" jika ([category] cocok dengan ". ?md5" dan [value] adalah string heksadesimal dan [file_type] bukan "md5") atau ([category] cocok dengan ". ?sha256" dan [value] adalah string heksadesimal). |
| nilai | entity.entity.hostname | Dipetakan ke "entity.entity.hostname" jika ([category] cocok dengan ". ?domain") atau ([category] cocok dengan ". ?ip" atau ".*?proxy" dan [not_ip] adalah benar (true)). |
| nilai | entity.entity.url | Dipetakan ke "entity.entity.url" jika ([category] cocok dengan ".*?url") atau ([category] cocok dengan "url" dan [resource_uri] tidak kosong). |
| T/A | entity.metadata.collected_timestamp | Diisi dengan stempel waktu peristiwa. |
| T/A | entity.metadata.interval.end_time | Ditetapkan ke nilai konstan 253402300799 detik. |
| T/A | entity.metadata.interval.start_time | Diisi dengan stempel waktu peristiwa. |
| T/A | entity.metadata.vendor_name | Tetapkan ke nilai konstan "IOC Kustom". |
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.