Coletar registros do Google Cloud Network Connectivity Center

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir Google Cloud registros da central de conectividade de rede no Google Security Operations usando o Google Cloud Storage V2.

O Network Connectivity Center é um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado hub. O Network Connectivity Center permite conectar diferentes redes corporativas que estão fora do Google Cloud ao aproveitar a rede do Google.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

Uma instância do Google SecOps
Google Cloud projeto com a API Cloud Storage ativada
Permissões para criar e gerenciar buckets do GCS
Permissões para gerenciar políticas do IAM em buckets do GCS
Permissões para criar e gerenciar gravadores do Cloud Logging
Recursos do Network Connectivity Center configurados no seu Google Cloud projeto

Criar um bucket do Google Cloud Storage

Acesse o Console do Google Cloud.
Selecione seu projeto ou crie um novo.
No menu de navegação, acesse Cloud Storage > Buckets.
Clique em Criar bucket.

Informe os seguintes detalhes de configuração:

Configuração	Valor
Nomeie seu bucket	Insira um nome exclusivo globalmente, por exemplo, `ncc-logs-bucket`.
Tipo de local	Escolha com base nas suas necessidades (região, birregional, multirregional)
Local	Selecione o local (por exemplo, `us-central1`).
Classe de armazenamento	Padrão (recomendado para registros acessados com frequência)
Controle de acesso	Uniforme (recomendado)
Ferramentas de proteção	Opcional: ativar o controle de versões de objetos ou a política de retenção

Clique em Criar.

Configurar o Cloud Logging para exportar registros do Network Connectivity Center para o GCS

O Logging armazena os registros do Network Connectivity Center por apenas 30 dias. Se quiser manter os registros por mais tempo, é necessário roteá-los.

No Console do Google Cloud, acesse Logging > Roteador de registros.
Clique em Criar coletor.
Informe os seguintes detalhes de configuração:
- Nome do coletor: insira um nome descritivo (por exemplo, ncc-chronicle-export).
- Descrição do coletor: descrição opcional.
Clique em Próxima.
Na seção Selecionar serviço do coletor:
- Serviço de coletor: selecione Bucket do Cloud Storage.
- Selecionar bucket do Cloud Storage: escolha o bucket (por exemplo, ncc-logs-bucket) na lista.
Clique em Próxima.
Na seção Escolher registros para incluir no coletor, insira uma consulta de filtro:
```
protoPayload.serviceName="networkconnectivity.googleapis.com"
```
Clique em Próxima.
Revise a configuração e clique em Criar coletor.

Observação: a identidade do gravador do coletor (uma conta de serviço) recebe automaticamente as permissões necessárias para gravar no bucket do Cloud Storage ao usar o console. Se você criar o gravador usando a CLI gcloud, talvez seja necessário conceder permissões manualmente.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Configurar um feed no Google SecOps para ingerir registros da central de conectividade de rede do GCP

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Google Cloud Network Connectivity Center Logs).
Selecione Google Cloud Storage V2 como o Tipo de origem.
Selecione GCP_NETWORK_CONNECTIVITY_CONTEXT como o Tipo de registro.
Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço será exibido, por exemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copie esse endereço de e-mail para usar na próxima etapa.

Observação: cada instância do Google SecOps tem uma conta de serviço exclusiva. Não use contas de serviço de outras documentações ou exemplos.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:
```
gs://ncc-logs-bucket/
```
  - Substitua:
    - ncc-logs-bucket: o nome do bucket do GCS.
Observação: quando você encaminha registros para um bucket do Cloud Storage, o Logging grava um conjunto de arquivos no bucket. Eles são organizados em hierarquias de diretório por data e tipo de registro. O Cloud Logging cria subdiretórios automaticamente com base no tipo e na data do registro. Sempre inclua a barra (/) no final do URI.
- Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
  - Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
  - Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
  - Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
    
    Observação: se você selecionar uma opção de exclusão, a conta de serviço precisará ter o papel Administrador de objetos do Storage em vez de Leitor de objetos do Storage. Atualize as permissões do IAM de acordo com a necessidade.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

Acesse Cloud Storage > Buckets.
Clique no nome do bucket (por exemplo, ncc-logs-bucket).
Acesse a guia Permissões.
Clique em Conceder acesso.
Informe os seguintes detalhes de configuração:
- Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
- Atribuir papéis: selecione Leitor de objetos do Storage.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
resource.data.createTime	entity.resource.attribute.creation_time	Carimbo de data/hora em que o recurso foi criado
resource.data.updateTime	entity.resource.attribute.last_update_time	Carimbo de data/hora da última atualização do recurso
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label	entity.resource.attribute.labels	Pares de chave-valor de atributos de recursos adicionais
resource.data.description	metadata.description	Descrição da entidade
resource.data.locationId	entity.location.name	Nome do local
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val	entity.resource.name	Nome do recurso
temp_main_ancestor, tmp_ancestor_name	entity.resource_ancestors	Lista de recursos ancestrais
resource.data.uniqueId, obj_id	entity.resource.product_object_id	Identificador exclusivo do recurso no produto.
assetType, HUB	entity.resource.resource_subtype	Subtipo do recurso
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT	entity.resource.resource_type	Tipo do recurso
GOOGLE_CLOUD_PLATFORM	entity.resource.attribute.cloud.environment	Ambiente de nuvem (por exemplo, GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations	entity.relations	Relações com outras entidades
resource.version	metadata.product_version	Versão do produto que gerou o evento

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.