收集 Google Cloud Network Connectivity Center 記錄
本文說明如何使用 Google Cloud Storage V2,將 Network Connectivity Center 記錄檔 Google Cloud 擷取至 Google Security Operations。
Network Connectivity Center 是一種協調架構,可簡化連至中樞 (中央管理資源) 的輪輻資源之間的網路連線。Network Connectivity Center 利用 Google 的網路,將 Google Cloud 以外的不同企業網路串連起來。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已啟用 Cloud Storage API 的Google Cloud 專案
- 建立及管理 GCS 值區的權限
- 管理 Google Cloud Storage 值區 IAM 政策的權限
- 建立及管理 Cloud Logging 接收器的權限
- 在 Google Cloud 專案中設定的 Network Connectivity Center 資源
建立 Google Cloud Storage 值區
- 前往 Google Cloud Console。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 ncc-logs-bucket)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取位置 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
設定 Cloud Logging,將 Network Connectivity Center 記錄檔匯出至 GCS
Logging 只會儲存 Network Connectivity Center 記錄 30 天。如要將記錄保留更久時間,您必須將記錄傳送至其他位置。
- 在 Google Cloud 控制台中,依序前往「Logging」(記錄) >「Logs Router」(記錄檔路由器)。
- 按一下「Create Sink」(建立接收器)。
- 請提供下列設定詳細資料:
- 接收器名稱:輸入描述性名稱 (例如
ncc-chronicle-export)。 - 接收器說明:選填說明。
- 接收器名稱:輸入描述性名稱 (例如
- 點選「下一步」。
- 在「選取接收器服務」部分:
- 接收器服務:選取「Cloud Storage bucket」(Cloud Storage 值區)。
- 選取 Cloud Storage bucket:從清單中選取 bucket (例如
ncc-logs-bucket)。
- 點選「下一步」。
在「選擇要納入接收器的記錄檔」部分,輸入篩選查詢:
protoPayload.serviceName="networkconnectivity.googleapis.com"點選「下一步」。
檢查設定,然後按一下「建立接收器」。
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
在 Google SecOps 中設定資訊提供,擷取 GCP Network Connectivity Center 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Google Cloud Network Connectivity Center Logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
選取「GCP_NETWORK_CONNECTIVITY_CONTEXT」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示不重複的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,以便在下一步中使用。
點選「下一步」。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://ncc-logs-bucket/- 取代:
ncc-logs-bucket:您的 GCS bucket 名稱。
- 取代:
來源刪除選項:根據偏好設定選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱 (例如
ncc-logs-bucket)。 - 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
- 按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| resource.data.createTime | entity.resource.attribute.creation_time | 資源建立時間的時間戳記 |
| resource.data.updateTime | entity.resource.attribute.last_update_time | 資源上次更新時間的時間戳記 |
| temp_discovery_document、temp_discovery_name、temp_ipcidr_range、temp_overlaps、temp_peer、temp_prefix_length、temp_resource_name、temp_resource_state、temp_target_cidr_range、temp_usage、temp_labels、temp_label | entity.resource.attribute.labels | 其他資源屬性的鍵/值組合 |
| resource.data.description | metadata.description | 實體說明 |
| resource.data.locationId | entity.location.name | 地點名稱 |
| name、val.uri、resource.data.hub、val、val.virtualMachine、resource.parent、val | entity.resource.name | 資源名稱 |
| temp_main_ancestor, tmp_ancestor_name | entity.resource_ancestors | 祖先資源清單 |
| resource.data.uniqueId、obj_id | entity.resource.product_object_id | 產品中資源的專屬 ID |
| assetType、HUB | entity.resource.resource_subtype | 資源的子類型 |
| DEVICE、VPC_NETWORK、VIRTUAL_MACHINE、CLOUD_PROJECT | entity.resource.resource_type | 資源類型 |
| GOOGLE_CLOUD_PLATFORM | entity.resource.attribute.cloud.environment | 雲端環境 (例如 GOOGLE_CLOUD_PLATFORM) |
| reouting_vpc_relation、temp_hub_relation、linked_vpc_tunnel_relation、linked_attachments_relation、router_relation、anceator_relation、user_relations | entity.relations | 與其他實體的關係 |
| resource.version | metadata.product_version | 產生事件的產品版本 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。