Mengelola namespace aset
Saat Anda menelusuri aset di Google Security Operations, misalnya menggunakan alamat IP atau nama host, Anda dapat melihat semua aktivitas yang terkait dengan aset tersebut. Terkadang ada beberapa aset yang terkait dengan alamat IP atau nama host yang sama (misalnya, dari penetapan alamat IP RFC 1918 yang tumpang-tindih pada segmen jaringan yang berbeda).
Fitur namespace aset memungkinkan Anda mengklasifikasikan kategori aset yang berbagi lingkungan jaringan umum, atau namespace, lalu melakukan penelusuran untuk aset tersebut dalam antarmuka pengguna Google SecOps berdasarkan namespace-nya. Misalnya, Anda dapat membuat namespace untuk jaringan cloud, segmentasi corp versus prod, jaringan merger dan akuisisi, dan sebagainya.
Membuat dan menetapkan namespace ke data
Semua aset memiliki namespace yang ditentukan secara otomatis atau dikonfigurasi secara manual. Jika tidak ada namespace yang diberikan dalam log, namespace default akan dikaitkan dengan aset yang diberi label untagged di UI Google SecOps. Log yang di-ingest ke Google SecOps sebelum dukungan namespace secara implisit diberi label sebagai bagian dari namespace default atau untagged.
Anda dapat mengonfigurasi namespace menggunakan hal berikut:
- Google SecOps Forwarder versi Linux.
- Beberapa parser normalisasi (misalnya, untuk Google Cloud) dapat otomatis mengisi namespace (untuk Google Cloud, berdasarkan project dan ID VPC).
- Chronicle Ingestion API.
- Google SecOps Feeds Management.
Namespace di UI Google SecOps
Anda akan melihat namespace yang dilampirkan ke aset Anda di seluruh UI Google SecOps, terutama setiap kali ada daftar aset, termasuk hal berikut:
- Penelusuran UDM
- Pemindaian Log Raw
- Tampilan deteksi
Kotak penelusuran
Saat menggunakan kotak penelusuran, namespace yang terkait dengan setiap aset akan ditampilkan. Memilih aset dalam namespace tertentu akan membukanya di tampilan Aset, yang menampilkan aktivitas lain yang terkait dengan namespace yang sama.
Aset apa pun yang tidak terkait dengan namespace akan ditetapkan ke namespace default. Namun, namespace default tidak ditampilkan dalam daftar.
Tampilan aset
Dalam tampilan Aset, namespace ditunjukkan dalam judul aset di bagian atas halaman. Jika memilih menu dropdown dengan mengklik panah bawah, Anda dapat memilih namespace lain yang terkait dengan aset tersebut.
Tampilan aset dengan namespace
Tampilan Alamat IP, Domain, dan Hash
Di seluruh antarmuka pengguna Google SecOps, namespace ditampilkan di mana pun aset direferensikan (kecuali untuk namespace default atau untagged), termasuk dalam tampilan Alamat IP, Domain, dan Hash.
Misalnya, dalam tampilan Alamat IP, namespace disertakan di tab aset dan di grafik prevalensi.
Label penyerapan
Untuk mempersempit penelusuran lebih lanjut, Anda dapat menggunakan label penyerapan untuk menyiapkan feed terpisah. Untuk mengetahui daftar lengkap label penyerapan yang didukung, lihat Parser default yang didukung.
Contoh: tiga cara untuk menambahkan namespace ke log
Contoh berikut mengilustrasikan tiga cara berbeda untuk menambahkan namespace ke log yang Anda ingest ke akun Google SecOps.
Menetapkan namespace menggunakan Google SecOps Forwarder
Anda dapat mengonfigurasi namespace dengan menambahkannya ke file konfigurasi Google SecOps Forwarder sebagai namespace khusus forwarder, atau namespace khusus kolektor. Contoh konfigurasi forwarder berikut mengilustrasikan kedua jenis tersebut:
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Seperti yang ditunjukkan dalam contoh ini, log yang berasal dari WINEVTLOG menyertakan tag namespace FORWARDER. Log yang berasal dari NIX_SYSTEM menyertakan tag namespace CORPORATE.
Tindakan ini menetapkan namespace keseluruhan ke pengumpul log. Jika lingkungan Anda berisi campuran log yang termasuk dalam beberapa namespace dan Anda tidak dapat mensegmentasikan mesin ini (atau ini sudah sesuai desain), Google merekomendasikan pembuatan beberapa pengumpul untuk sumber log yang sama yang memfilter log ke namespace masing-masing menggunakan ekspresi reguler.
Menetapkan namespace menggunakan Ingestion API
Anda juga dapat mengonfigurasi namespace saat mengirim log melalui endpoint unstructuredlogentries dalam Chronicle Ingestion API seperti yang ditunjukkan dalam contoh berikut:
{
"customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
"log_type": "BIND_DNS",
"namespace": "FORWARDER"
"entries": [
{
"log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
"ts_epoch_microseconds": 1551188102187000
},
{
"log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
"ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
},
{
"log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
},
]
}
Dalam contoh ini, namespace adalah parameter isi dari panggilan POST API. Log dari BIND\_DNS meneruskan data log-nya dengan tag namespace FORWARDER.
Menetapkan namespace menggunakan Google SecOps Feeds Management
Seperti yang dinyatakan dalam Panduan pengguna Feed management, Google SecOps Feeds Management memungkinkan Anda menyiapkan dan mengelola berbagai aliran log dalam tenant Google SecOps.
Dalam contoh berikut, Log Office 365 akan di-ingest dengan tag namespace FORWARDER:
Gambar 1: Konfigurasi Feed Management dengan tag namespace FORWARDER
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.