Mengumpulkan log Network Connectivity Center Google Cloud

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Network Connectivity Center ke Google Security Operations menggunakan Google Cloud Storage V2. Google Cloud

Network Connectivity Center adalah framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub. Network Connectivity Center memungkinkan menghubungkan berbagai jaringan perusahaan yang berada di luar Google Cloud dengan memanfaatkan jaringan Google.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
projectGoogle Cloud dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat dan mengelola sink Cloud Logging
Resource Network Connectivity Center yang dikonfigurasi di Google Cloud project Anda

Membuat bucket Google Cloud Storage

Buka Konsol Google Cloud.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `ncc-logs-bucket`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Location	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Create.

Mengonfigurasi Cloud Logging untuk mengekspor log Network Connectivity Center ke GCS

Logging menyimpan log Network Connectivity Center hanya untuk 30 hari. Jika ingin menyimpan log untuk jangka waktu yang lebih lama, Anda harus merutekannya.

Di Konsol Google Cloud, buka Logging > Logs Router.
Klik Create sink.
Berikan detail konfigurasi berikut:
- Sink name: Masukkan nama deskriptif (misalnya, ncc-chronicle-export).
- Deskripsi wastafel: Deskripsi opsional.
Klik Berikutnya.
Di bagian Pilih layanan sink:
- Sink service: Pilih Bucket Cloud Storage.
- Pilih bucket Cloud Storage: Pilih bucket (misalnya, ncc-logs-bucket) dari daftar.
Klik Berikutnya.

Di bagian Choose logs to include in sink, masukkan kueri filter:

protoPayload.serviceName="networkconnectivity.googleapis.com"

Klik Berikutnya.
Tinjau konfigurasi, lalu klik Create sink.

Catatan: Identitas penulis sink (akun layanan) secara otomatis diberi izin yang diperlukan untuk menulis ke bucket Cloud Storage saat menggunakan konsol. Jika membuat sink menggunakan gcloud CLI, Anda mungkin perlu memberikan izin secara manual.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Mengonfigurasi feed di Google SecOps untuk menyerap log Network Connectivity Center GCP

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Google Cloud Network Connectivity Center Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih GCP_NETWORK_CONNECTIVITY_CONTEXT sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://ncc-logs-bucket/
```
  - Ganti:
    - ncc-logs-bucket: Nama bucket GCS Anda.
Catatan: Saat Anda merutekan log ke bucket Cloud Storage, Logging akan menulis serangkaian file ke bucket tersebut. File diatur dalam hierarki direktori menurut jenis dan tanggal log. Cloud Logging akan membuat subdirektori secara otomatis berdasarkan jenis dan tanggal log. Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket (misalnya, ncc-logs-bucket).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
resource.data.createTime	entity.resource.attribute.creation_time	Stempel waktu saat resource dibuat
resource.data.updateTime	entity.resource.attribute.last_update_time	Stempel waktu saat resource terakhir diperbarui
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label	entity.resource.attribute.labels	Pasangan nilai kunci dari atribut resource tambahan
resource.data.description	metadata.description	Deskripsi entitas
resource.data.locationId	entity.location.name	Nama lokasi
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val	entity.resource.name	Nama resource
temp_main_ancestor, tmp_ancestor_name	entity.resource_ancestors	Daftar resource ancestor
resource.data.uniqueId, obj_id	entity.resource.product_object_id	ID unik untuk resource dalam produk
assetType, HUB	entity.resource.resource_subtype	Subjenis resource
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT	entity.resource.resource_type	Jenis resource
GOOGLE_CLOUD_PLATFORM	entity.resource.attribute.cloud.environment	Lingkungan cloud (misalnya, GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations	entity.relations	Hubungan dengan entitas lain
resource.version	metadata.product_version	Versi produk yang menghasilkan peristiwa

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.