SecureLink-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie SecureLink-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

SecureLink (jetzt Imprivata Privileged Remote Access) ist eine cloudbasierte Drittanbieterplattform für den Remote-Zugriff zur sicheren Verwaltung von Anbieter- und privilegiertem Zugriff. Die SecureLink REST API bietet programmatischen Zugriff auf Sitzungsprotokolle, Authentifizierungsereignisse und administrative Audit-Logs.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf das SecureLink-Administratorportal mit Administratorberechtigungen
• Ein SecureLink-API-Schlüssel mit Lesezugriff auf Audit-Logs

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. securelink-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

SecureLink-API-Anmeldedaten erfassen

API-Schlüssel generieren

1. Melden Sie sich im SecureLink-Administratorportal an.
2. Klicken Sie auf Administration > API-Schlüssel (oder Administration > Integrationen > API).
3. Klicken Sie auf API-Schlüssel generieren.
4. Geben Sie einen Namen für den API-Schlüssel ein (z. B. Google SecOps Integration).
5. Wählen Sie die erforderlichen Berechtigungen aus:
   • Audit-Log lesen: Zugriff auf Sitzungs- und Authentifizierungslogs
   • Sitzung lesen: Zugriff auf Daten der Remotezugriffssitzung
6. Klicken Sie auf Generieren.

7. Kopieren Sie die folgenden Details und speichern Sie sie an einem sicheren Ort:

   • API-Schlüssel: Der generierte API-Schlüsselwert
   • Organisations-ID: Ihre SecureLink-Organisations-ID (in der Admin-Portal-URL oder auf der Seite „Einstellungen“ sichtbar)

API-Basis-URL ermitteln

Die SecureLink API-Basis-URL:

Umgebung	API-Basis-URL
Produktion	https://api.securelink.com/v1

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  SECURELINK_API_KEY="your-api-key"
  SECURELINK_ORG_ID="your-org-id"
  
  # Test API access - list recent audit logs
  curl -s -X GET "https://api.securelink.com/v1/audit-logs?limit=1" \
    -H "Authorization: Bearer ${SECURELINK_API_KEY}" \
    -H "X-Organization-Id: ${SECURELINK_ORG_ID}" \
    -H "Accept: application/json"
  

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie securelink-logs-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect SecureLink logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. securelink-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. securelink-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie securelink-logs-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der SecureLink REST API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	securelink-logs-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema securelink-logs-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto securelink-logs-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	securelink-logs	Name des GCS-Buckets
   GCS_PREFIX	securelink	Präfix für Protokolldateien
   STATE_KEY	securelink/state.json	Statusdateipfad
   SECURELINK_API_KEY	your-api-key	SecureLink-API-Schlüssel
   SECURELINK_ORG_ID	your-org-id	SecureLink-Organisations-ID
   SECURELINK_API_BASE	https://api.securelink.com/v1	SecureLink API-Basis-URL
   MAX_RECORDS	5000	Maximale Anzahl von Datensätzen pro Ausführung
   PAGE_SIZE	1000	Einträge pro Seite
   LOOKBACK_HOURS	24	Erster Rückschauzeitraum

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

   • Erste Datei main.py::

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'securelink')
     STATE_KEY = os.environ.get('STATE_KEY', 'securelink/state.json')
     SECURELINK_API_KEY = os.environ.get('SECURELINK_API_KEY')
     SECURELINK_ORG_ID = os.environ.get('SECURELINK_ORG_ID')
     SECURELINK_API_BASE = os.environ.get('SECURELINK_API_BASE', 'https://api.securelink.com/v1')
     MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
     PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch SecureLink
       audit and session logs and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, SECURELINK_API_KEY, SECURELINK_ORG_ID]):
         print('Error: Missing required environment variables')
         return
     
       try:
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         # Determine time window
         now = datetime.now(timezone.utc)
         last_time = None
     
         if isinstance(state, dict) and state.get("last_event_time"):
           try:
             last_time = parse_datetime(state["last_event_time"])
             # Overlap by 2 minutes to catch any delayed events
             last_time = last_time - timedelta(minutes=2)
           except Exception as e:
             print(f"Warning: Could not parse last_event_time: {e}")
     
         if last_time is None:
           last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
         print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
     
         # Fetch logs from multiple endpoints
         all_records = []
         newest_event_time = None
     
         for endpoint_type in ['audit-logs', 'sessions']:
           records, newest_time = fetch_logs(
             endpoint_type=endpoint_type,
             start_time=last_time,
             end_time=now,
             page_size=PAGE_SIZE,
             max_records=MAX_RECORDS,
           )
           all_records.extend(records)
           if newest_time:
             if newest_event_time is None or parse_datetime(newest_time) > parse_datetime(newest_event_time):
               newest_event_time = newest_time
     
         if not all_records:
           print("No new log records found.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Write to GCS as NDJSON
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         # Update state with newest event time
         if newest_event_time:
           save_state(bucket, STATE_KEY, newest_event_time)
         else:
           save_state(bucket, STATE_KEY, now.isoformat())
     
         print(f"Successfully processed {len(all_records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
         state = {'last_event_time': last_event_time_iso}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def fetch_logs(endpoint_type: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
       """
       Fetch logs from SecureLink REST API
       with cursor-based pagination and rate limiting.
     
       Args:
         endpoint_type: API endpoint type (audit-logs, sessions)
         start_time: Start time for log query
         end_time: End time for log query
         page_size: Number of records per page
         max_records: Maximum total records to fetch
     
       Returns:
         Tuple of (records list, newest_event_time ISO string)
       """
       api_base = SECURELINK_API_BASE.rstrip('/')
       endpoint = f"{api_base}/{endpoint_type}"
     
       headers = {
         'Authorization': f'Bearer {SECURELINK_API_KEY}',
         'X-Organization-Id': SECURELINK_ORG_ID,
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-SecureLinkCollector/1.0'
       }
     
       records = []
       newest_time = None
       page_num = 0
       backoff = 1.0
       cursor = None
     
       start_iso = start_time.strftime('%Y-%m-%dT%H:%M:%SZ')
       end_iso = end_time.strftime('%Y-%m-%dT%H:%M:%SZ')
     
       while True:
         page_num += 1
     
         if len(records) >= max_records:
           print(f"Reached max_records limit ({max_records}) for {endpoint_type}")
           break
     
         url = f"{endpoint}?startDate={start_iso}&endDate={end_iso}&limit={min(page_size, max_records - len(records))}"
         if cursor:
           url += f"&cursor={cursor}"
     
         try:
           response = http.request('GET', url, headers=headers)
     
           # Handle rate limiting with exponential backoff
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429). Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           backoff = 1.0
     
           if response.status != 200:
             print(f"HTTP Error: {response.status}")
             response_text = response.data.decode('utf-8')
             print(f"Response body: {response_text}")
             return records, newest_time
     
           data = json.loads(response.data.decode('utf-8'))
     
           page_results = data.get('data', data.get('results', data.get('items', [])))
     
           if not page_results:
             print(f"No more results (empty page) for {endpoint_type}")
             break
     
           print(f"{endpoint_type} page {page_num}: Retrieved {len(page_results)} events")
     
           # Add endpoint type for identification
           for event in page_results:
             event['_securelink_log_type'] = endpoint_type
     
           records.extend(page_results)
     
           # Track newest event time
           for event in page_results:
             try:
               event_ts = event.get('timestamp') or event.get('createdAt') or event.get('startTime')
               if event_ts:
                 event_time = str(event_ts)
                 if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                   newest_time = event_time
             except Exception as e:
               print(f"Warning: Could not parse event time: {e}")
     
           # Check for next cursor
           cursor = data.get('cursor') or data.get('nextCursor') or data.get('next_cursor')
           if not cursor:
             if len(page_results) < page_size:
               print(f"No more pages for {endpoint_type} (last page not full)")
             else:
               print(f"No more pages for {endpoint_type} (no cursor)")
             break
     
         except Exception as e:
           print(f"Error fetching {endpoint_type} logs: {e}")
           return records, newest_time
     
       print(f"Retrieved {len(records)} total {endpoint_type} records from {page_num} pages")
       return records, newest_time
     

   • Zweite Datei: requirements.txt::

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	securelink-logs-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema securelink-logs-trigger aus.
   Inhalt der Nachricht	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
Stündlich	0 * * * *	Standard (empfohlen)
Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
Täglich	0 0 * * *	Erhebung von Verlaufsdaten

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf securelink-logs-collector.
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   audit-logs page 1: Retrieved X events
   sessions page 1: Retrieved X events
   Wrote X records to gs://securelink-logs/securelink/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets (securelink-logs).

10. Rufen Sie den Ordner securelink/ auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: API-Schlüssel und Organisations-ID in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie, ob der API-Schlüssel im SecureLink-Administratorportal die erforderlichen Berechtigungen hat.
• HTTP 429: Ratenbegrenzung – Funktion wird automatisch mit Backoff wiederholt
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um SecureLink-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SecureLink Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie SecureLink als Log type (Protokolltyp) aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E-Mail-Adresse.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://securelink-logs/securelink/
      

      • Ersetzen Sie:
        • securelink-logs: Der Name Ihres GCS-Buckets.
        • securelink: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard: 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
additional_classification	additional.fields	Alle wichtigen anbieterspezifischen Ereignisdaten, die in den formalen Abschnitten des UDM-Modells nicht angemessen dargestellt werden können
Mechanismus	extensions.auth.mechanism	Authentifizierungsmechanismus
	extensions.auth.type	Authentifizierungstyp
msg, inner_message, desc	metadata.description	Eine Beschreibung des Ereignisses
	metadata.event_type	Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
resource_name, _application_protocol	network.application_protocol	Anwendungsprotokoll (z.B. HTTP, FTP)
method	network.http.method	HTTP-Methode (z.B. GET, POST)
	network.ip_protocol	IP-Protokoll (z.B. TCP, UDP)
sessionId	network.session_id	Sitzungs-ID
principal_host	principal.hostname	Quellhostname
login_ip, src_ip, inner_ip, principal_host	principal.ip	Quell-IP-Adresse der Verbindung
principal_port	principal.port	Quellportnummer
process_id	principal.process.pid	Prozess-ID
principal_uri	principal.url	Mit dem Rechtssubjekt verknüpfte URL
Nutzername, Schlüssel	principal.user.email_addresses	Mit dem Nutzer verknüpfte E‑Mail-Adressen
username, key, user_id	principal.user.userid	Nutzer-ID
security_action	security_result.action	Ergriffene Maßnahme (z.B. ALLOW, BLOCK)
Kategorie	security_result.category	Kategorie des Sicherheitsergebnisses
action, description	security_result.description	Beschreibung des Sicherheitsergebnisses
Priorität	security_result.priority	Priorität des Sicherheitsergebnisses
method	security_result.severity	Schweregrad des Sicherheitsergebnisses
Priorität	security_result.severity_details	Details zum Schweregrad
reason	security_result.summary	Zusammenfassung des Sicherheitsergebnisses
application, product_event_type	target.application	Name der Anwendung
pwd	target.file.full_path	Vollständiger Pfad der Datei
target_host	target.hostname	Ziel-Hostname
dst_ip, target_host	target.ip	IP-Adresse des Ziels
target_port	target.port	Zielportnummer
Befehl	target.process.command_line	Befehlszeile des Prozesses
	target.resource.type	Ressourcentyp
URL	target.url	Mit dem Ziel verknüpfte URL
Nutzername, Schlüssel	target.user.email_addresses	Mit dem Zielnutzer verknüpfte E‑Mail-Adressen
Name	target.user.user_display_name	Anzeigename des Nutzers
username, key, user_id	target.user.userid	Nutzer-ID des Zielnutzers
	metadata.product_name	Produktname
	metadata.vendor_name	Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten