Collecter les journaux Network Connectivity Center Google Cloud

Compatible avec :

Ce document explique comment ingérer les journaux Network Connectivity Center dans Google Security Operations à l'aide de Google Cloud Storage V2. Google Cloud

Network Connectivity Center est un framework d'orchestration qui simplifie la connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub. Network Connectivity Center permet de connecter différents réseaux d'entreprise extérieurs à Google Cloud en exploitant le réseau de Google.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • ProjetGoogle Cloud avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations pour créer et gérer des récepteurs Cloud Logging
  • Ressources Network Connectivity Center configurées dans votre projet Google Cloud

Créer un bucket Google Cloud Storage

  1. Accédez à Google Cloud Console.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, ncc-logs-bucket).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Configurer Cloud Logging pour exporter les journaux Network Connectivity Center vers GCS

Logging stocke les journaux de Network Connectivity Center pendant 30 jours seulement. Si vous souhaitez conserver vos journaux plus longtemps, vous devez les router.

  1. Dans la console Google Cloud, accédez à Journalisation > Routeur de journaux.
  2. Cliquez sur Créer un récepteur.
  3. Fournissez les informations de configuration suivantes :
    • Nom du récepteur : saisissez un nom descriptif (par exemple, ncc-chronicle-export).
    • Description du récepteur : description facultative.
  4. Cliquez sur Suivant.
  5. Dans la section Sélectionner le service de récepteur :
    • Service de récepteur : sélectionnez Bucket Cloud Storage.
    • Sélectionner un bucket Cloud Storage : sélectionnez le bucket (par exemple, ncc-logs-bucket) dans la liste.
  6. Cliquez sur Suivant.

  7. Dans la section Sélectionner les journaux à inclure dans le récepteur, saisissez une requête de filtre :

    protoPayload.serviceName="networkconnectivity.googleapis.com"

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration, puis cliquez sur Créer un récepteur.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux du centre de connectivité réseau GCP

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Google Cloud Network Connectivity Center Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.

  6. Sélectionnez GCP_NETWORK_CONNECTIVITY_CONTEXT comme type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

  9. Cliquez sur Suivant.

  10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

      gs://ncc-logs-bucket/
      • Remplacez :
        • ncc-logs-bucket : nom de votre bucket GCS.

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  11. Cliquez sur Suivant.

  12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom du bucket (par exemple, ncc-logs-bucket).
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
  6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
resource.data.createTime entity.resource.attribute.creation_time Code temporel de la création de la ressource
resource.data.updateTime entity.resource.attribute.last_update_time Code temporel de la dernière mise à jour de la ressource.
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label entity.resource.attribute.labels Paires clé/valeur d'attributs de ressources supplémentaires
resource.data.description metadata.description Description de l'entité
resource.data.locationId entity.location.name Nom du lieu
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val entity.resource.name Nom de la ressource
temp_main_ancestor, tmp_ancestor_name entity.resource_ancestors Liste des ressources ancêtres
resource.data.uniqueId, obj_id entity.resource.product_object_id Identifiant unique de la ressource dans le produit
assetType, HUB entity.resource.resource_subtype Sous-type de la ressource
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT entity.resource.resource_type Type de la ressource
GOOGLE_CLOUD_PLATFORM entity.resource.attribute.cloud.environment Environnement cloud (par exemple, GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations entity.relations Relations avec d'autres entités
resource.version metadata.product_version Version du produit ayant généré l'événement

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.