Raccogli Google Cloud i log di Network Connectivity Center

Supportato in:

Google secops SIEM

Questo documento spiega come importare Google Cloud i log di Network Connectivity Center in Google Security Operations utilizzando Google Cloud Storage V2.

Network Connectivity Center è un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub. Network Connectivity Center consente la connessione di diverse reti aziendali esterne a Google Cloud sfruttando la rete di Google.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
ProgettoGoogle Cloud con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare e gestire i sink di Cloud Logging
Risorse Network Connectivity Center configurate nel tuo progetto Google Cloud

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `ncc-logs-bucket`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Configura Cloud Logging per esportare i log di Network Connectivity Center in GCS

Logging archivia i log di Network Connectivity Center solo per 30 giorni. Se vuoi conservare i log per un periodo più lungo, devi instradarli.

Nella console Google Cloud, vai a Logging > Router log.
Fai clic su Crea sink.
Fornisci i seguenti dettagli di configurazione:
- Nome sink: inserisci un nome descrittivo, ad esempio ncc-chronicle-export.
- Descrizione sink: descrizione facoltativa.
Fai clic su Avanti.
Nella sezione Seleziona il servizio sink:
- Servizio sink: seleziona Bucket Cloud Storage.
- Seleziona bucket Cloud Storage: seleziona il bucket (ad esempio ncc-logs-bucket) dall'elenco.
Fai clic su Avanti.
Nella sezione Scegli i log da includere nel sink, inserisci una query di filtro:
```
protoPayload.serviceName="networkconnectivity.googleapis.com"
```
Fai clic su Avanti.
Rivedi la configurazione e fai clic su Crea sink.

Nota :quando utilizzi la console, all'identità writer del sink (un account di servizio) vengono concesse automaticamente le autorizzazioni necessarie per scrivere nel bucket Cloud Storage. Se crei il sink utilizzando gcloud CLI, potresti dover concedere le autorizzazioni manualmente.

Recuperare il account di servizio Google SecOps

Google SecOps utilizza un account di servizio univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo account di servizio l'accesso al tuo bucket.

Configura un feed in Google SecOps per importare i log di Network Connectivity Center di Google Cloud

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Google Cloud Network Connectivity Center Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona GCP_NETWORK_CONNECTIVITY_CONTEXT come tipo di log.
Fai clic su Ottieni service account. Verrà visualizzata un'email univoca del account di servizio, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un account di servizio univoco. Non utilizzare service account di altre documentazioni o esempi.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://ncc-logs-bucket/
```
  - Sostituisci:
    - ncc-logs-bucket: il nome del bucket GCS.
Nota: quando esegui il routing dei log a un bucket Cloud Storage, Logging scrive un insieme di file nel bucket. I file sono organizzati in gerarchie di directory per tipo di log e data. Cloud Logging creerà automaticamente le sottodirectory in base al tipo di log e alla data. Includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il account di servizio deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio, ncc-logs-bucket).
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del account di servizio Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
resource.data.createTime	entity.resource.attribute.creation_time	Timestamp di creazione della risorsa
resource.data.updateTime	entity.resource.attribute.last_update_time	Timestamp dell'ultimo aggiornamento della risorsa
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label	entity.resource.attribute.labels	Coppie chiave-valore degli attributi di risorsa aggiuntivi
resource.data.description	metadata.description	Descrizione dell'entità
resource.data.locationId	entity.location.name	Nome della posizione
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val	entity.resource.name	Nome della risorsa
temp_main_ancestor, tmp_ancestor_name	entity.resource_ancestors	Elenco delle risorse padre
resource.data.uniqueId, obj_id	entity.resource.product_object_id	Identificatore univoco della risorsa nel prodotto
assetType, HUB	entity.resource.resource_subtype	Sottotipo della risorsa
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT	entity.resource.resource_type	Il tipo di risorsa
GOOGLE_CLOUD_PLATFORM	entity.resource.attribute.cloud.environment	Ambiente cloud (ad es. GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations	entity.relations	Relazioni con altre entità
resource.version	metadata.product_version	La versione del prodotto che ha generato l'evento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.