收集 Google Cloud 運算記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Cloud Storage,將 Compute 記錄匯出至 Google Security Operations。 Google Cloud 剖析器會擷取欄位、正規化訊息欄位,並將擷取的資料對應至統一資料模型 (UDM) 結構定義,確保安全事件的呈現方式一致。可處理各種記錄格式,包括類似於系統記錄的訊息和鍵/值組合,並根據擷取的欄位 (例如「type」和「action」) 將事件分類。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- 在 Google Cloud 環境中設定並啟用 Compute。
- 「 Google Cloud」的特殊存取權。
建立 Google Cloud Storage bucket
- 登入Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分,執行下列操作:
- 輸入符合值區名稱規定的專屬名稱,例如 compute-logs。
如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
- 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
- 按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中,完成下列步驟:
選取「位置類型」。
- 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
- 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取 bucket 的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理 bucket 資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」以強制執行禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,請執行下列操作:
- 選取「資料保護」下方的任何選項,為 bucket 設定資料保護措施。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
設定 Google Cloud 運算記錄匯出作業
- 在 Google Cloud 控制台中,依序前往「Logging」(記錄) >「Log Router」(記錄檔路由器)。
- 按一下「建立接收器」。
- 提供下列設定詳細資料:
- 接收器名稱:輸入有意義的名稱 (例如
Compute-Logs-Sink)。 - 「Sink Destination」(接收器目標位置):選取「Cloud Storage」。
- Cloud Storage 值區:輸入值區 URI (例如
gs://compute-logs/compute-logs/)。
- 接收器名稱:輸入有意義的名稱 (例如
在「Build inclusion filter」(建立納入篩選器) 區段中,使用下列一或多個模式設定記錄篩選器,擷取 Google Cloud Compute 記錄:
資源類型篩選器 (必填 - 選擇一項):
僅限 VM 執行個體記錄:
resource.type="gce_instance"所有 GCE 相關資源 (VM 執行個體、子網路、防火牆):
resource.type=("gce_instance" OR "gce_subnetwork" OR "gce_network" OR "gce_firewall_rule")
特定記錄類型 (選用 - 視需要新增):
如要查看稽核記錄 (執行個體作業、設定變更):
resource.type="gce_instance" logName:"cloudaudit.googleapis.com/activity"虛擬私有雲流量記錄 (網路流量):
resource.type="gce_subnetwork" logName:"vpc_flows"防火牆記錄 (允許/拒絕連線):
resource.type="gce_subnetwork" logName:"compute.googleapis.com/firewall"如要查看序列主控台記錄:
resource.type="gce_instance" logName:"serialconsole.googleapis.com"
網路相關篩選器 (選用 - 視需要新增):
依連線詳細資料 (來源/目的地 IP、通訊埠) 篩選:
jsonPayload.connection.dest_ip:* OR jsonPayload.connection.src_ip:*依執行個體詳細資料篩選:
jsonPayload.dest_instance.project_id:* OR jsonPayload.src_instance.project_id:*依安全性動作篩選:
jsonPayload.rule_details.action=("ALLOW" OR "BLOCK")
範例:完整的篩選器,可全面記錄 Compute 記錄:
(resource.type="gce_instance" OR resource.type="gce_subnetwork") AND ( logName:"cloudaudit.googleapis.com/activity" OR logName:"vpc_flows" OR logName:"compute.googleapis.com/firewall" OR jsonPayload.connection.dest_ip:* OR jsonPayload.connection.src_ip:* )按一下「建立接收器」。
設定 Cloud Storage 的權限
- 依序前往「IAM」>「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 找出 Cloud Logging 服務帳戶,例如 service-account@logging.iam.gserviceaccount.com。
- 為該服務帳戶指派值區的 roles/storage.admin 角色。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 依序點選「SIEM 設定」>「動態饋給」>「新增」
- 依序點選「內容中心」「內容包」「開始使用」
如何設定 Google Cloud 運算動態饋給
- 按一下「Google Cloud Compute platform」套件。
- 找出 GCP Compute Feed 記錄類型,然後按一下「新增動態饋給」。
為下列欄位指定值:
- 來源類型:Google Cloud Storage V2。
- 儲存空間值區 URI:Cloud Storage 值區網址,例如
gs://compute-context-logs/。這個網址的結尾必須是正斜線 (/)。 來源刪除選項:根據偏好設定選取刪除選項。
檔案存在時間上限:只納入在過去天數內修改的檔案。預設值為 180 天。
Chronicle 服務帳戶:複製服務帳戶。您需要這項資訊,才能在 Bucket 中新增這項服務帳戶的權限,讓 Google SecOps 讀取或刪除 Bucket 中的資料。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
點選「建立動態饋給」。
如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| addr | read_only_udm.principal.ip | 如果欄位不為空白或「?」,則會併入主要 IP 位址清單。 |
| jsonPayload.connection.dest_ip | read_only_udm.target.ip | 如果該欄位存在,則會合併至目標 IP 位址清單。 |
| jsonPayload.connection.dest_port | read_only_udm.target.port | 轉換為字串,然後轉換為整數,並在轉換期間未發生錯誤時對應。 |
| jsonPayload.connection.protocol | read_only_udm.network.ip_protocol | 先轉換為字串,再轉換為整數。用於透過查閱資料表判斷 IP 通訊協定 (TCP、UDP 等),並在轉換期間未發生錯誤時進行對應。 |
| jsonPayload.connection.src_ip | read_only_udm.principal.ip | 如果該欄位存在,則會併入主要 IP 位址清單。 |
| jsonPayload.connection.src_port | read_only_udm.principal.port | 轉換為字串,然後轉換為整數,並在轉換期間未發生錯誤時對應。 |
| jsonPayload.dest_instance.project_id | read_only_udm.target.resource.product_object_id | 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.dest_instance.region | read_only_udm.target.location.name | 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.dest_instance.vm_name | read_only_udm.target.resource.attribute.cloud.project.name | 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.dest_instance.zone | read_only_udm.target.resource.attribute.cloud.availability_zone | 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.dest_vpc.project_id | read_only_udm.target.cloud.vpc.product_object_id | 用來做為對應相關欄位的條件。 |
| jsonPayload.dest_vpc.subnetwork_name | read_only_udm.target.cloud.vpc.name | 如果 jsonPayload.dest_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.instance.project_id | read_only_udm.target.resource.product_object_id | 如果 jsonPayload.instance.project_id 存在,則有條件地對應。 |
| jsonPayload.instance.region | read_only_udm.target.location.name | 如果 jsonPayload.instance.project_id 存在,則有條件地對應。 |
| jsonPayload.instance.vm_name | read_only_udm.target.resource.attribute.cloud.project.name | 如果 jsonPayload.instance.project_id 存在,則有條件地對應。 |
| jsonPayload.instance.zone | read_only_udm.target.resource.attribute.cloud.availability_zone | 如果 jsonPayload.instance.project_id 存在,則有條件地對應。 |
| jsonPayload.message | read_only_udm.metadata.product_event_type、read_only_udm.principal.application、read_only_udm.target.process.pid、read_only_udm.target.user.userid、read_only_udm.principal.hostname、read_only_udm.target.process.command_line、read_only_udm.security_result.description、read_only_udm.principal.process.file.full_path | 根據 grok 模式和條件邏輯,剖析並對應至不同欄位。 |
| jsonPayload.rule_details.action | read_only_udm.security_result.action | 用於判斷安全結果動作 (ALLOW/BLOCK) 並對應。 |
| jsonPayload.rule_details.direction | read_only_udm.network.direction | 用於判斷網路方向 (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) 並對應。 |
| jsonPayload.rule_details.priority | read_only_udm.security_result.priority_details | 如果轉換期間未發生錯誤,則會轉換為字串並對應。 |
| jsonPayload.rule_details.reference | read_only_udm.security_result.rule_labels.value | 對應至規則標籤值。 |
| jsonPayload.src_instance.project_id | read_only_udm.principal.resource.product_object_id | 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.src_instance.region | read_only_udm.principal.location.name | 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.src_instance.vm_name | read_only_udm.principal.resource.attribute.cloud.project.name | 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.src_instance.zone | read_only_udm.principal.resource.attribute.cloud.availability_zone | 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.src_vpc.project_id | read_only_udm.principal.cloud.vpc.product_object_id | 用來做為對應相關欄位的條件。 |
| jsonPayload.src_vpc.subnetwork_name | read_only_udm.principal.cloud.vpc.name | 如果 jsonPayload.src_vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.vpc.project_id | read_only_udm.target.cloud.vpc.product_object_id | 如果 jsonPayload.vpc.project_id 存在,則有條件地對應。 |
| jsonPayload.vpc.subnetwork_name | read_only_udm.target.cloud.vpc.name | 如果 jsonPayload.vpc.project_id 存在,則有條件地對應。 |
| logName | read_only_udm.security_result.category_details | 直接對應。 |
| resource.labels.instance_id | read_only_udm.principal.resource.product_object_id、read_only_udm.principal.asset_id | 有條件對應。如果類型為「PROCTITLE」,則會用於建構資產 ID。 |
| resource.labels.location | read_only_udm.principal.location.name | 如果欄位存在,則有條件地對應。 |
| resource.labels.project_id | read_only_udm.metadata.product_deployment_id | 如果欄位存在,則有條件地對應。 |
| resource.labels.zone | read_only_udm.principal.resource.attribute.cloud.availability_zone | 如果欄位存在,則有條件地對應。 |
| resource.type | read_only_udm.metadata.event_type | 用於判斷事件類型並對應。 |
| 時間戳記 | read_only_udm.metadata.event_timestamp | 直接對應。 |
| 類型 | read_only_udm.metadata.product_event_type、read_only_udm.metadata.event_type、read_only_udm.extensions.auth.type | 用於判斷事件類型、產品事件類型和驗證類型,並據此對應。 |
| read_only_udm.metadata.event_type | 這項邏輯會根據「type」欄位和其他條件設定事件類型。如果找不到特定相符項目,則預設為「GENERIC_EVENT」。 | |
| read_only_udm.metadata.log_type | 常數值為「GCP_COMPUTE」。 | |
| read_only_udm.metadata.vendor_name | 常數值「Google Cloud Platform」。 | |
| read_only_udm.metadata.product_name | 常數值「Google Cloud Platform」。 | |
| read_only_udm.security_result.rule_labels.key | 常數值「Reference」。 | |
| read_only_udm.target.cloud.vpc.resource_type | 如果存在 jsonPayload.instance.project_id 或 jsonPayload.dest_vpc.project_id,則有條件地設為「VPC_NETWORK」。 | |
| read_only_udm.target.resource.attribute.cloud.environment | 如果 jsonPayload.instance.project_id、jsonPayload.dest_vpc.project_id 或 jsonPayload.src_vpc.project_id 存在,則有條件地設為「GOOGLE_CLOUD_PLATFORM」。 | |
| read_only_udm.principal.administrative_domain | 從「kv_data」欄位擷取的「帳戶網域」欄位對應。 | |
| read_only_udm.principal.user.user_display_name | 從「kv_data」欄位擷取的「帳戶名稱」欄位對應。 | |
| read_only_udm.target.resource.name | 從「kv_data」欄位擷取的「物件名稱」欄位對應。 | |
| read_only_udm.target.resource.type | 從「kv_data」欄位擷取的「物件類型」欄位對應。 | |
| read_only_udm.principal.process.pid | 從「kv_data」欄位擷取的「程序 ID」欄位對應。 | |
| read_only_udm.target.user.windows_sid | 對應自從「kv_data」欄位擷取的「安全 ID」欄位。 | |
| read_only_udm.network.session_id | 對應自「auid」欄位。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。