모니터링 Google Cloud 알림 활동 로그 수집
이 문서에서는 Google Cloud Storage V2를 사용하여 Cloud Monitoring 알림 활동과 관련된 Cloud Logging 로그를 Google Security Operations에 수집하는 방법을 설명합니다.
Cloud Monitoring은 Google Cloud 리소스에 대한 알림 기능을 제공합니다. 로그 기반 알림 정책은 특정 메시지가 로그에 표시될 때 알림을 보냅니다. 로그 항목이 알림 정책의 조건을 충족하면 Cloud Monitoring에서 이슈가 열리고 이슈에 대한 알림이 전송됩니다. 이 통합을 사용하면 보안 분석 및 상관관계를 위해 Cloud Logging 항목을 Google Security Operations로 내보낼 수 있습니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Cloud Storage API가 사용 설정된Google Cloud 프로젝트
- GCS 버킷을 만들고 관리할 수 있는 권한
- GCS 버킷의 IAM 정책을 관리할 수 있는 권한
- Cloud Logging 싱크를 구성할 수 있는 권한
Google Cloud Storage 버킷 만들기
Google Cloud 콘솔 사용
- Google Cloud Console로 이동합니다.
- 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
- 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
- 버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 버킷 이름 지정 전역적으로 고유한 이름 (예: monitoring-logs-export)을 입력합니다.위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전) 위치 위치를 선택합니다 (예: us-central1).스토리지 클래스 Standard (자주 액세스하는 로그에 권장) 액세스 제어 균일 (권장) 보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정 만들기를 클릭합니다.
gcloud 명령줄 도구 사용
또는
gcloud명령어를 사용하여 버킷을 만듭니다.gcloud storage buckets create gs://monitoring-logs-export \ --location=us-central1 \ --default-storage-class=STANDARD- 다음과 같이 바꿉니다.
monitoring-logs-export: 필수 버킷 이름 (전역적으로 고유함)입니다.us-central1: 선호하는 리전
- 다음과 같이 바꿉니다.
GCS로 로그를 내보내도록 Cloud Logging 구성
Cloud Storage로 라우팅되면 로그 항목이 JSON 파일로 저장됩니다. 알림 정책 관리를 위한 감사 로그와 같은 Cloud Monitoring 알림 활동과 관련된 로그를 내보낼 수 있습니다.
로그 싱크 만들기
- Google Cloud 콘솔에서 로깅 > 로그 라우터로 이동합니다.
- 싱크 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 싱크 이름: 설명이 포함된 이름 (예:
monitoring-alerts-to-gcs)을 입력합니다. - 싱크 설명: 선택사항인 설명입니다.
- 싱크 이름: 설명이 포함된 이름 (예:
- 다음을 클릭합니다.
- 싱크 서비스 선택 섹션에서 다음 단계를 따릅니다.
- 싱크 서비스: Cloud Storage 버킷을 선택합니다.
- Cloud Storage 버킷 선택: 목록에서 버킷 (예:
monitoring-logs-export)을 선택합니다.
- 다음을 클릭합니다.
싱크에 포함할 로그 선택 섹션에서 내보낼 로그를 선택하는 필터 쿼리를 입력합니다.
Cloud Monitoring 감사 로그의 필터 예:
protoPayload.serviceName="monitoring.googleapis.com" logName:"cloudaudit.googleapis.com/activity"로그 기반 알림 정책 트리거의 필터 예:
로그 기반 알림 정책을 트리거하는 기본 로그를 내보내려면 해당 특정 로그와 일치하는 필터를 사용하세요. 예를 들면 다음과 같습니다.
severity >= ERROR resource.type="gce_instance"
다음을 클릭합니다.
선택사항: 필요한 경우 제외 필터를 구성합니다.
싱크 만들기를 클릭합니다.
로그 데이터를 Cloud Storage 버킷으로 라우팅하는 새 싱크는 로그 항목 라우팅을 시작하는 데 몇 시간이 걸릴 수 있습니다. 라우팅된 로그 항목은 1시간마다 일괄적으로 Cloud Storage 버킷에 저장됩니다. 첫 번째 항목이 나타나기 시작하려면 2~3시간이 걸릴 수 있습니다.
Google SecOps 서비스 계정 가져오기
Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.
Cloud Monitoring 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Google Cloud Monitoring Alerts Logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
로그 유형으로 GCP_MONITORING_ALERTS를 선택합니다.
서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다(예:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
스토리지 버킷 URL: GCS 버킷 URI를 입력합니다.
gs://monitoring-logs-export/monitoring-logs-export을 GCS 버킷 이름으로 바꿉니다.
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
- 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
애셋 네임스페이스: 애셋 네임스페이스입니다.
수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
Google SecOps 서비스 계정에 IAM 권한 부여
Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.
Google Cloud 콘솔 사용
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름 (예:
monitoring-logs-export)을 클릭합니다. - 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
- 역할 할당: 스토리지 객체 뷰어를 선택합니다.
- 저장을 클릭합니다.
gcloud 명령줄 도구 사용
또는
gcloud명령어를 사용하여 권한을 부여합니다.gcloud storage buckets add-iam-policy-binding gs://monitoring-logs-export \ --member="serviceAccount:SECOPS_SERVICE_ACCOUNT_EMAIL" \ --role="roles/storage.objectViewer"- 다음과 같이 바꿉니다.
monitoring-logs-export: 버킷 이름입니다.SECOPS_SERVICE_ACCOUNT_EMAIL: Google SecOps 서비스 계정 이메일입니다.
- 다음과 같이 바꿉니다.
gsutil 명령줄 도구 사용 (기존)
SecOps 서비스 계정에 대상 버킷 내 객체를 읽는 데 필요한 권한을 부여합니다.
gsutil iam ch serviceAccount:SECOPS_SERVICE_ACCOUNT_EMAIL:objectViewer \ gs://monitoring-logs-export
권한 확인
권한이 올바르게 부여되었는지 확인하려면 다음 단계를 따르세요.
gcloud storage buckets get-iam-policy gs://monitoring-logs-export \ --flatten="bindings[].members" \ --filter="bindings.role:roles/storage.objectViewer"출력에 Google SecOps 서비스 계정 이메일이 표시됩니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| jsonPayload.type_1 | additional.fields.jsonPayload_type_1 | 값이 직접 복사됨 |
| jsonPayload.debugInfo | additional.fields.number | grok 패턴을 사용하여 jsonPayload.debugInfo에서 추출됨 |
| jsonPayload.scheduledTime, receiveTimestamp, timestamp | metadata.event_timestamp | 비어 있지 않은 경우 jsonPayload.scheduledTime의 값, 비어 있지 않은 경우 receiveTimestamp, 비어 있지 않은 경우 타임스탬프(날짜 일치를 사용하여 변환됨) |
| event_type | metadata.event_type | 비어 있지 않은 경우 event_type의 값, 비어 있는 경우 'GENERIC_EVENT'로 설정 |
| insertId | metadata.product_log_id | 값이 직접 복사됨 |
| jsonPayload.targetType | network.application_protocol | 값이 직접 복사됨 |
| httpRequest.status | network.http.response_code | 정수로 변환됨 |
| resource.labels.location | principal.location.name | 값이 직접 복사됨 |
| jsonPayload.jobName | principal.url | 값이 직접 복사됨 |
| jsonPayload.status | security_result.action | jsonPayload.status == 'PERMISSION_DENIED'인 경우 'BLOCK'으로 설정 |
| 줄이는 것을 | security_result.severity | 심각도가 (?i)INFO와 일치하면 INFORMATIONAL로 설정되고, 심각도가 'LOW'이면 LOW로 설정되고, 심각도가 'MEDIUM'이면 MEDIUM으로 설정되고, 심각도가 'HIGH'이면 HIGH로 설정되고, 심각도가 'VERY-HIGH'이면 CRITICAL로 설정됩니다. |
| jsonPayload.debugInfo | security_result.summary | grok 패턴을 사용하여 jsonPayload.debugInfo에서 추출됨 |
| logName | src.url | 값이 직접 복사됨 |
| resource.labels.project_id | target.resource.attribute.labels.project_id | 값이 직접 복사됨 |
| resource.labels.job_id | target.resource.attribute.labels.resource_labels_job_id | 값이 직접 복사됨 |
| resource.type | target.resource.resource_subtype | 값이 직접 복사됨 |
| jsonPayload.url | target.url | 값이 직접 복사됨 |
| metadata.product_name | 'Gcp_monitoring_alerts'로 설정 | |
| metadata.vendor_name | 'GCP_MONITORING_ALERTS'로 설정 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.