Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Logging

Dieses Dokument enthält eine Anleitung zur Integration von Cloud Logging in Google Security Operations SOAR.

Integrationsversion: 1.0

Hinweise

Um die Integration nutzen zu können, benötigen Sie ein Google Cloud -Dienstkonto. Sie können ein vorhandenes Dienstkonto verwenden oder ein neues erstellen.

Dienstkonto erstellen

Eine Anleitung zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen.

Wenn Sie ein Dienstkonto zur Authentifizierung bei Google Cloudverwenden, können Sie einen Dienstkontoschlüssel in JSON erstellen und den Inhalt der heruntergeladenen JSON-Datei bei der Konfiguration der Integrationsparameter angeben.

Aus Sicherheitsgründen empfehlen wir, E-Mail-Adressen für Arbeitslastidentitäten anstelle eines Dienstkontoschlüssels zu verwenden. Weitere Informationen zu den Workload Identitys finden Sie unter Identitäten für Arbeitslasten.

Cloud Logging in Google SecOps SOAR einbinden

Für die Cloud Logging-Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Workload Identity Email`	Optional Die Client-E-Mail-Adresse Ihrer Arbeitslastidentität. Sie können entweder diesen Parameter oder den Parameter `User's Service Account` konfigurieren. Wenn Sie die Identität von Dienstkonten mit der E‑Mail-Adresse der Workload Identity übernehmen möchten, weisen Sie Ihrem Dienstkonto die Rolle `Service Account Token Creator` zu. Weitere Informationen zu Workload Identitys und deren Verwendung finden Sie unter Identitäten für Arbeitslasten.
`User's Service Account`	Optional Der Inhalt der JSON-Datei des Dienstkontoschlüssels. Sie können entweder diesen Parameter oder den Parameter `Workload Identity Email` konfigurieren. Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben. Weitere Informationen zur Verwendung von Dienstkonten als Authentifizierungsmethode finden Sie unter Dienstkonten – Übersicht.
`Quota Project ID`	Optional Die Google Cloud -Projekt-ID, die Sie für Google Cloud APIs und Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle `Service Usage Consumer` zuweisen. Der Parameterwert wird von der Integration an alle API-Anfragen angehängt. Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID für das Kontingent aus Ihrem Google Cloud Dienstkonto ab.
`Organization ID`	Optional Die in der Integration zu verwendende Organisations-ID. Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
`Project ID`	Optional Die Projekt-ID, die in der Integration verwendet werden soll. Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
`Verify SSL`	Erforderlich Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zu Cloud Logging gültig ist. Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Die Cloud Logging-Integration umfasst die folgenden Aktionen:

Abfrage ausführen
Ping

Abfrage ausführen

Mit der Aktion Abfrage ausführen können Sie benutzerdefinierte Abfragen in Cloud Logging ausführen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Abfrage ausführen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Project ID`	Optional Die Projekt-ID, die in der Integration verwendet werden soll. Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
`Organization ID`	Optional Die in der Integration zu verwendende Organisations-ID. Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
`Query`	Erforderlich Eine Abfrage zum Suchen der Logs.
`Time Frame`	Optional Ein Zeitraum, aus dem die Ergebnisse abgerufen werden sollen. Wenn Sie `Custom` auswählen, konfigurieren Sie auch den Parameter `Start Time`. Folgende Werte sind möglich: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` Der Standardwert ist `Last Hour`.
`Start Time`	Optional Die Startzeit für den Abruf von Ergebnissen. Dieser Parameter ist erforderlich, wenn Sie für den Parameter `Time Frame` die Option `Custom` ausgewählt haben. Verwenden Sie das ISO 8601-Format, um diesen Parameter zu konfigurieren.
`End Time`	Optional Die Endzeit für den Abruf von Ergebnissen. Wenn Sie keinen Wert für diesen Parameter festlegen und die Option `Custom` für den Parameter `Time Frame` auswählen, wird die aktuelle Zeit als Endzeit verwendet. Verwenden Sie das ISO 8601-Format, um diesen Parameter zu konfigurieren.
`Max Results To Return`	Optional Die maximale Anzahl von zurückzugebenden Ergebnissen. Der Standardwert ist 50.

Aktionsausgaben

Die Aktion Abfrage ausführen liefert die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Abfrage ausführen empfangen wird:

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]

Ausgabemeldungen

Die Aktion Abfrage ausführen gibt die folgenden Ausgabemeldungen zurück:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully executed query "QUERY" in Cloud Logging.` `No results were found for the provided query.`	Die Aktion wurde ausgeführt.
`Error executing action "Execute Query". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

Die Aktion wurde ausgeführt.

Error executing action "Execute Query". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Abfrage ausführen beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Cloud Logging zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Verfügbar
Scriptergebnis	Verfügbar

Ausgabemeldungen

Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Cloud Logging server with the provided connection parameters! Die Aktion wurde ausgeführt.

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully connected to the Cloud Logging server with the provided connection parameters!`	Die Aktion wurde ausgeführt.
`Failed to connect to the Cloud Logging server! Error is ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Failed to connect to the Cloud Logging server! Error is
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten