Cette page a été traduite par l'API Cloud Translation.

Cloud Logging

Ce document explique comment intégrer Cloud Logging à Google Security Operations SOAR.

Version de l'intégration : 1.0

Avant de commencer

Pour utiliser l'intégration, vous avez besoin d'un compte de service Google Cloud . Vous pouvez utiliser un compte de service existant ou en créer un.

Créer un compte de service

Pour savoir comment créer un compte de service, consultez Créer des comptes de service.

Si vous utilisez un compte de service pour vous authentifier auprès de Google Cloud, vous pouvez créer une clé de compte de service au format JSON et fournir le contenu du fichier JSON téléchargé lors de la configuration des paramètres d'intégration.

Pour des raisons de sécurité, nous vous recommandons d'utiliser des adresses e-mail d'identité de charge de travail plutôt qu'une clé de compte de service. Pour en savoir plus sur les identités de charge de travail, consultez Identités pour les charges de travail.

Intégrer Cloud Logging à Google SecOps SOAR

L'intégration Cloud Logging nécessite les paramètres suivants :

Paramètre	Description
`Workload Identity Email`	Optional Adresse e-mail du client de votre identité de charge de travail. Vous pouvez configurer ce paramètre ou le paramètre `User's Service Account`. Pour emprunter l'identité de comptes de service avec l'adresse e-mail de l'identité de charge de travail, accordez le rôle `Service Account Token Creator` à votre compte de service. Pour en savoir plus sur les identités de charge de travail et sur la façon de les utiliser, consultez Identités pour les charges de travail.
`User's Service Account`	Optional Contenu du fichier JSON de clé de compte de service. Vous pouvez configurer ce paramètre ou le paramètre `Workload Identity Email`. Pour configurer ce paramètre, indiquez l'intégralité du contenu du fichier JSON de la clé de compte de service que vous avez téléchargé lors de la création d'un compte de service. Pour en savoir plus sur l'utilisation des comptes de service comme méthode d'authentification, consultez la présentation des comptes de service.
`Quota Project ID`	Optional ID du projet Google Cloud que vous utilisez pour les API Google Cloud et la facturation. Ce paramètre nécessite que vous accordiez le rôle `Service Usage Consumer` à votre compte de service. L'intégration associe cette valeur de paramètre à toutes les requêtes API. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet de quota à partir de votre compte de service Google Cloud .
`Organization ID`	Optional ID d'organisation à utiliser dans l'intégration. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
`Project ID`	Optional ID du projet à utiliser dans l'intégration. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
`Verify SSL`	Obligatoire Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion à Cloud Logging est valide. Cette option est sélectionnée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

L'intégration à Cloud Logging inclut les actions suivantes :

Exécuter la requête
Ping

Exécuter la requête

Utilisez l'action Exécuter une requête pour exécuter des requêtes personnalisées dans Cloud Logging.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Exécuter la requête nécessite les paramètres suivants :

Paramètre	Description
`Project ID`	Optional ID du projet à utiliser dans l'intégration. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
`Organization ID`	Optional ID d'organisation à utiliser dans l'intégration. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
`Query`	Obligatoire Requête permettant de trouver les journaux.
`Time Frame`	Optional Période à partir de laquelle récupérer les résultats. Si vous sélectionnez `Custom`, configurez également le paramètre `Start Time`. Les valeurs possibles sont les suivantes : `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` La valeur par défaut est `Last Hour`.
`Start Time`	Optional Heure de début pour récupérer les résultats. Ce paramètre est obligatoire si vous avez sélectionné l'option `Custom` pour le paramètre `Time Frame`. Pour configurer ce paramètre, utilisez le format ISO 8601.
`End Time`	Optional Heure de fin pour récupérer les résultats. Si vous ne définissez pas de valeur pour ce paramètre et que vous sélectionnez l'option `Custom` pour le paramètre `Time Frame`, l'action utilise l'heure actuelle comme heure de fin. Pour configurer ce paramètre, utilisez le format ISO 8601.
`Max Results To Return`	Optional Nombre maximal de résultats à renvoyer. La valeur par défaut est 50.

Sorties d'action

L'action Exécuter la requête fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Exécuter la requête :

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]

Messages de sortie

L'action Exécuter la requête fournit les messages de sortie suivants :

Message affiché Description du message

Message affiché	Description du message
`Successfully executed query "QUERY" in Cloud Logging.` `No results were found for the provided query.`	L'action a réussi.
`Error executing action "Execute Query". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

L'action a réussi.

Error executing action "Execute Query". Reason:
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Exécuter la requête :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Ping

Utilisez l'action Ping pour tester la connectivité à Cloud Logging.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Table du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ping fournit les messages de sortie suivants :

Message affiché Description du message

Successfully connected to the Cloud Logging server with the provided connection parameters! L'action a réussi.

Message affiché	Description du message
`Successfully connected to the Cloud Logging server with the provided connection parameters!`	L'action a réussi.
`Failed to connect to the Cloud Logging server! Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Failed to connect to the Cloud Logging server! Error is
      ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`True` ou `False`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.