Google Cloud Network Connectivity Center-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Google Cloud Network Connectivity Center-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen vereinfacht, die mit einer zentralen Verwaltungsressource verbunden sind, die als Hub bezeichnet wird. Network Connectivity Center ermöglicht über das Google-Netzwerk die Verbindung verschiedener Unternehmensnetzwerke, die sich außerhalb von Google Cloud befinden.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Google Cloud -Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen und Verwalten von Cloud Logging-Senken
Network Connectivity Center-Ressourcen, die in Ihrem Google Cloud -Projekt konfiguriert sind

Google Cloud Storage-Bucket erstellen

Gehen Sie zur Google Cloud Console.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `ncc-logs-bucket`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffskontrolle	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.

Cloud Logging so konfigurieren, dass Network Connectivity Center-Logs nach GCS exportiert werden

Logging speichert Network Connectivity Center-Logs nur 30 Tage. Wenn Sie Ihre Logs länger aufbewahren möchten, müssen Sie sie weiterleiten.

Rufen Sie in der Google Cloud Console Logging > Log-Router auf.
Klicken Sie auf Senke erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. ncc-chronicle-export.
- Senkenbeschreibung: Optionale Beschreibung.
Klicken Sie auf Weiter.
Gehen Sie im Bereich Senkendienst auswählen so vor:
- Senkendienst: Wählen Sie Cloud Storage-Bucket aus.
- Cloud Storage-Bucket auswählen: Wählen Sie den Bucket (z. B. ncc-logs-bucket) aus der Liste aus.
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Logs auswählen, die in der Senke enthalten sind eine Filterabfrage ein:
```
protoPayload.serviceName="networkconnectivity.googleapis.com"
```
Klicken Sie auf Weiter.
Prüfen Sie die Konfiguration und klicken Sie auf Senke erstellen.

Hinweis :Wenn Sie die Console verwenden, erhält die Writer-Identität der Senke (ein Dienstkonto) automatisch die erforderlichen Berechtigungen zum Schreiben in den Cloud Storage-Bucket. Wenn Sie die Senke mit der gcloud CLI erstellen, müssen Sie möglicherweise Berechtigungen manuell gewähren.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

Feed in Google SecOps konfigurieren, um GCP Network Connectivity Center-Logs aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Google Cloud Network Connectivity Center Logs.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie GCP_NETWORK_CONNECTIVITY_CONTEXT als Log type (Logtyp) aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://ncc-logs-bucket/
```
  - Ersetzen Sie:
    - ncc-logs-bucket: Der Name Ihres GCS-Buckets.
Hinweis :Wenn Sie Logs in einen Cloud Storage-Bucket weiterleiten, schreibt Logging eine Gruppe von Dateien in den Bucket. Die Dateien sind nach Log-Typ und -Datum in Verzeichnishierarchien organisiert. Cloud Logging erstellt automatisch Unterverzeichnisse basierend auf dem Logtyp und dem Datum. Geben Sie am Ende des URI immer einen Schrägstrich (/) ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
    
    Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Bucket-Namen, z. B. ncc-logs-bucket.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
resource.data.createTime	entity.resource.attribute.creation_time	Zeitstempel für die Erstellung der Ressource
resource.data.updateTime	entity.resource.attribute.last_update_time	Zeitstempel der letzten Aktualisierung der Ressource
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label	entity.resource.attribute.labels	Schlüssel/Wert-Paare zusätzlicher Ressourcenattribute
resource.data.description	metadata.description	Beschreibung der Entität
resource.data.locationId	entity.location.name	Name des Standorts
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val	entity.resource.name	Name der Ressource
temp_main_ancestor, tmp_ancestor_name	entity.resource_ancestors	Liste der übergeordneten Ressourcen
resource.data.uniqueId, obj_id	entity.resource.product_object_id	Eindeutige Kennung für die Ressource im Produkt
assetType, HUB	entity.resource.resource_subtype	Untertyp der Ressource
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT	entity.resource.resource_type	Typ der Ressource
GOOGLE_CLOUD_PLATFORM	entity.resource.attribute.cloud.environment	Cloud-Umgebung (z.B. GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations	entity.relations	Beziehungen zu anderen Entitäten
resource.version	metadata.product_version	Version des Produkts, das das Ereignis generiert hat

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten