Mengumpulkan log Forseti Open Source

Didukung di:

Dokumen ini menjelaskan cara menyerap log Forseti Open Source ke Google Security Operations menggunakan Google Cloud Storage V2.

Forseti Security adalah kumpulan alat open source yang didorong oleh komunitas untuk meningkatkan keamanan lingkungan Google Cloud Platform. Forseti mengambil snapshot inventaris resource GCP dengan irama berulang, memindai resource untuk memastikan bahwa kontrol akses ditetapkan sesuai yang diinginkan, dan memberikan visibilitas ke dalam kebijakan IAM Cloud.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Project GCP dengan Cloud Storage API yang diaktifkan.
  • Izin untuk membuat dan mengelola bucket GCS.
  • Izin untuk mengelola kebijakan IAM di bucket GCS.
  • Deployment Forseti Security yang sudah ada (misalnya, di-deploy menggunakan modul Forseti Terraform di Google Compute Engine).
  • Akses ke file konfigurasi server Forseti (forseti_conf_server.yaml).

Membuat bucket Google Cloud Storage

Menggunakan Konsol Google Cloud

  1. Buka Konsol Google Cloud.
  2. Pilih project Anda atau buat project baru.
  3. Di menu navigasi, buka Cloud Storage > Buckets.
  4. Klik Create bucket.

  5. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, forseti-violations-export)
    Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
    Location Pilih lokasi (misalnya, us-central1)
    Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses)
    Access control Seragam (direkomendasikan)
    Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

  6. Klik Create.

Menggunakan alat command line gcloud

Atau, buat bucket menggunakan perintah gcloud:

gcloud storage buckets create gs://forseti-violations-export \
    --location=us-central1 \
    --default-storage-class=STANDARD

Ganti:

  • forseti-violations-export: Nama bucket yang Anda inginkan (unik secara global).
  • us-central1: Region pilihan Anda (misalnya, us-central1, europe-west1).

Mengonfigurasi Forseti Security untuk mengekspor pelanggaran ke GCS

Forseti Security menggunakan konfigurasi notifikasi dalam file forseti_conf_server.yaml untuk mengekspor pelanggaran pemindai ke Google Cloud Storage.

  1. Hubungkan ke VM server Forseti Anda menggunakan SSH:

    gcloud compute ssh forseti-server-vm --project=YOUR_PROJECT_ID --zone=YOUR_ZONE

    Ganti YOUR_PROJECT_ID dan YOUR_ZONE dengan nilai deployment Forseti Anda.

  2. Buka file konfigurasi server Forseti untuk mengedit:

    sudo nano /home/ubuntu/forseti-security/configs/forseti_conf_server.yaml

    Jika deployment Forseti Anda menggunakan konfigurasi berbasis GCS, download file dari bucket server Forseti Anda:

    gsutil cp gs://YOUR_FORSETI_SERVER_BUCKET/configs/forseti_conf_server.yaml ~/forseti_conf_server.yaml

  3. Buka bagian notifier dan temukan subbagian resources.

  4. Untuk setiap jenis resource pelanggaran yang ingin Anda ekspor, konfigurasi notifikasi gcs_violations. Tambahkan atau perbarui konfigurasi sebagai berikut:

    notifier:
  resources:
    - resource: iam_policy_violations
      should_notify: true
      notifiers:
        - name: gcs_violations
          configuration:
            data_format: csv
            gcs_path: gs://forseti-violations-export/violations/
    - resource: firewall_rule_violations
      should_notify: true
      notifiers:
        - name: gcs_violations
          configuration:
            data_format: csv
            gcs_path: gs://forseti-violations-export/violations/
    - resource: cloudsql_acl_violations
      should_notify: true
      notifiers:
        - name: gcs_violations
          configuration:
            data_format: csv
            gcs_path: gs://forseti-violations-export/violations/
    - resource: bucket_acl_violations
      should_notify: true
      notifiers:
        - name: gcs_violations
          configuration:
            data_format: csv
            gcs_path: gs://forseti-violations-export/violations/
    - resource: config_validator_violations
      should_notify: true
      notifiers:
        - name: gcs_violations
          configuration:
            data_format: csv
            gcs_path: gs://forseti-violations-export/violations/

    Ganti:

    • forseti-violations-export: Nama bucket GCS Anda yang dibuat pada langkah sebelumnya.
    • violations/: Jalur awalan opsional untuk mengatur file pelanggaran.

    Parameter konfigurasi:

    • resource: Jenis resource pelanggaran. Jenis resource yang tersedia bergantung pada pemindai Forseti yang diaktifkan dalam deployment Anda. Jenis umum mencakup iam_policy_violations, firewall_rule_violations, cloudsql_acl_violations, bucket_acl_violations, config_validator_violations, groups_settings_violations, dan lainnya.
    • should_notify: Setel ke true untuk mengaktifkan notifikasi untuk jenis resource ini.
    • data_format: Format data yang diekspor. Nilai yang valid adalah csv atau json. Defaultnya adalah csv.
    • gcs_path: Jalur Cloud Storage tempat pelanggaran akan diekspor. Jalur harus dimulai dengan gs:// dan harus menyertakan garis miring di akhir.

  5. Simpan file konfigurasi.

  6. Jika Anda mendownload konfigurasi dari GCS, upload kembali file yang telah diperbarui ke bucket server Forseti Anda:

    gsutil cp ~/forseti_conf_server.yaml gs://YOUR_FORSETI_SERVER_BUCKET/configs/forseti_conf_server.yaml

  7. Muat ulang konfigurasi server Forseti:

    forseti server configuration reload

  8. Pastikan konfigurasi berhasil dimuat:

    forseti server configuration get | grep gcs_violations

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Mengonfigurasi feed di Google SecOps untuk menyerap log Forseti Open Source

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Forseti Violations).
  5. Pilih Google Cloud Storage V2 sebagai Source type.

  6. Pilih Forseti Open Source sebagai Jenis log.

  7. Klik Get Service Account.

  8. Email akun layanan yang unik akan ditampilkan, misalnya:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Salin alamat email ini. Anda akan menggunakannya pada langkah berikutnya.

  10. Klik Berikutnya.

  11. Tentukan nilai untuk parameter input berikut:

    • URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
    gs://forseti-violations-export/violations/
    • Ganti:
      • forseti-violations-export: Nama bucket GCS Anda.
      • violations/: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:

      • Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
      • Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
      • Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  12. Klik Berikutnya.

  13. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Menggunakan Konsol Google Cloud

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda.
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Add principals: Tempel email akun layanan Google SecOps.
    • Tetapkan peran: Pilih Storage Object Viewer.
  6. Klik Simpan.

Menggunakan alat command line gcloud

Atau, berikan izin menggunakan perintah gcloud:

gcloud storage buckets add-iam-policy-binding gs://forseti-violations-export \
    --member="serviceAccount:chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com" \
    --role="roles/storage.objectViewer"

Ganti:

  • forseti-violations-export: Nama bucket Anda.
  • chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com: Email akun layanan Google SecOps.

Menggunakan alat command line gsutil (lama)

gsutil iam ch serviceAccount:chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com:objectViewer \
    gs://forseti-violations-export

Verifikasi izin

Untuk memverifikasi bahwa izin telah diberikan dengan benar:

gcloud storage buckets get-iam-policy gs://forseti-violations-export \
    --flatten="bindings[].members" \
    --filter="bindings.role:roles/storage.objectViewer"

Anda akan melihat email akun layanan Google SecOps di output.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
data.resource_data.instanceGroupUrls tentang Digabungkan dari array instanceGroupUrls
data.resource_data.nodePools.*.statusMessage metadata.description Nilai dari nodePool.statusMessage
data.resource_type metadata.event_type Disetel ke RESOURCE_PERMISSIONS_CHANGE untuk kms_cryptokey/serviceaccount_key, RESOURCE_DELETION untuk firewall, STATUS_HEARTBEAT untuk kubernetes_cluster, atau GENERIC_EVENT
data.scanner_index_id metadata.product_log_id Nilai disalin langsung, dikonversi menjadi string
metadata.product_name Ditetapkan ke "FORSETI SECURITY"
metadata.vendor_name Ditetapkan ke "FORSETI"
data.resource_data.direction network.direction Tetapkan ke INBOUND jika arahnya adalah INGRESS
data.resource_data.endpoint principal.ip Nilai disalin secara langsung
data.resource_data.nodeConfig.oauthScopes.0 principal.url Nilai disalin secara langsung
data.full_name, serviceAccount principal.user.userid Diekstrak dari data.full_name menggunakan grok, atau disetel ke serviceAccount jika tidak kosong
data.violation_data.protection_level, data.violation_data.purpose, data.violation_data.project_id, data.violation_data.node_pool_name, data.violation_data.violation_reason security_result.detection_fields Digabungkan dari beberapa pasangan nilai kunci
data.violation_type security_result.category Disetel ke POLICY_VIOLATION jika FIREWALL_BLACKLIST_VIOLATION, UNKNOWN_CATEGORY jika KE_VERSION_VIOLATION, atau ACL_VIOLATION
data.rule_name security_result.rule_name Nilai disalin secara langsung
data.violation_type security_result.summary Nilai disalin secara langsung
data.resource_data.zone target.asset.attribute.cloud.availability_zone Nilai disalin secara langsung
target.asset.attribute.cloud.environment Tetapkan ke "GOOGLE_CLOUD_PLATFORM"
data.full_name target.asset.attribute.cloud.project.id Diekstrak dari data.full_name menggunakan grok
data.resource_data.subnetwork target.asset.attribute.cloud.vpc.name Nilai disalin secara langsung
data.resource_data.nodeConfig.machineType target.asset.hardware Digabungkan dari machineType dan platform CPU konstan
data.resource_data.privateClusterConfig.privateEndpoint target.ip Nilai disalin secara langsung
data.resource_data.versionTemplate.algorithm, data.resource_data.key_algorithm target.labels Pasangan nilai kunci gabungan untuk algoritma jika ada
data.resource_data.location target.location.name Nilai disalin secara langsung
data.resource_name target.resource.name Nilai disalin secara langsung
data.resource_id target.resource.product_object_id Nilai disalin langsung jika berbeda dari resource_name
data.resource_type target.resource.resource_subtype Setel ke "gke" jika resource_type adalah kubernetes_cluster
data.resource_type target.resource.resource_type Dipetakan ke jenis tertentu berdasarkan resource_type asli

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.