Cloud Logging
Dokumen ini memberikan panduan tentang cara mengintegrasikan Cloud Logging dengan Google Security Operations SOAR.
Versi integrasi: 1.0
Sebelum memulai
Untuk menggunakan integrasi, Anda memerlukan akun layanan Google Cloud . Anda dapat menggunakan akun layanan yang ada atau membuat yang baru.
Membuat akun layanan
Untuk mendapatkan panduan tentang cara membuat akun layanan, lihat Membuat akun layanan.
Jika Anda menggunakan akun layanan untuk melakukan autentikasi ke Google Cloud, Anda dapat membuat kunci akun layanan dalam JSON dan memberikan konten file JSON yang didownload saat mengonfigurasi parameter integrasi.
Untuk alasan keamanan, sebaiknya gunakan alamat email identitas beban kerja, bukan kunci akun layanan. Untuk mengetahui informasi selengkapnya tentang identitas beban kerja, lihat Identitas untuk beban kerja.
Mengintegrasikan Cloud Logging dengan SOAR Google SecOps
Integrasi Cloud Logging memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Workload Identity Email |
Opsional Alamat email klien identitas workload Anda. Anda dapat mengonfigurasi parameter ini atau parameter Untuk meniru identitas akun layanan dengan alamat email identitas beban kerja,
berikan peran |
User's Service Account |
Opsional Konten file JSON kunci akun layanan. Anda dapat mengonfigurasi parameter ini atau parameter Untuk mengonfigurasi parameter ini, berikan konten lengkap file JSON kunci akun layanan yang Anda download saat membuat akun layanan. Untuk mengetahui informasi selengkapnya tentang penggunaan akun layanan sebagai metode autentikasi, lihat Ringkasan akun layanan. |
Quota Project ID |
Opsional Google Cloud Project ID yang Anda gunakan untuk
Google Cloud API dan penagihan. Parameter ini mengharuskan Anda memberikan
peran Integrasi melampirkan nilai parameter ini ke semua permintaan API. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID kuota dari akun layanan Google Cloud Anda. |
Organization ID |
Opsional ID organisasi yang akan digunakan dalam integrasi. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda. |
Project ID |
Opsional Project ID yang akan digunakan dalam integrasi. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda. |
Verify SSL |
Wajib Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk terhubung ke Cloud Logging valid. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Integrasi Cloud Logging mencakup tindakan berikut:
Jalankan Kueri
Gunakan tindakan Execute Query untuk menjalankan kueri kustom di Cloud Logging.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute Query memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Project ID |
Opsional Project ID yang akan digunakan dalam integrasi. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda. |
Organization ID |
Opsional ID organisasi yang akan digunakan dalam integrasi. Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda. |
Query |
Wajib Kueri untuk menemukan log. |
Time Frame |
Opsional Periode untuk mengambil hasil. Jika Anda
memilih Kemungkinan nilainya adalah sebagai berikut:
Last Hour. |
Start Time |
Opsional Waktu mulai untuk mengambil hasil. Parameter ini wajib diisi jika Anda memilih opsi Untuk mengonfigurasi parameter ini, gunakan format ISO 8601. |
End Time |
Opsional Waktu berakhir untuk mengambil hasil. Jika Anda tidak menetapkan nilai untuk parameter ini dan memilih
opsi Untuk mengonfigurasi parameter ini, gunakan format ISO 8601. |
Max Results To Return |
Opsional Jumlah hasil maksimum yang akan ditampilkan. Nilai defaultnya adalah 50. |
Output tindakan
Tindakan Execute Query memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Jalankan Kueri:
[{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "system:clouddns"
},
"authorizationInfo": [
{
"granted": true,
"permission": "io.k8s.coordination.v1.leases.update",
"resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
}
],
"methodName": "io.k8s.coordination.v1.leases.update",
"requestMetadata": {
"callerIp": "192.0.2.6",
"callerSuppliedUserAgent": "clouddns-leader-election"
},
"resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
"serviceName": "k8s.io",
"status": {
"code": 0
}
},
"insertId": "ID",
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "CLUSTER_NAME",
"project_id": "PROJECT_ID",
"location": "us-central1"
}
},
"timestamp": "2024-09-18T09:46:38.647428Z",
"labels": {
"authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
"authorization.k8s.io/decision": "allow"
},
"logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
"operation": {
"id": "ID",
"producer": "k8s.io",
"first": true,
"last": true
},
"receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
Pesan output
Tindakan Execute Query memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Execute Query". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Cloud Logging.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Cloud Logging server with
the provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Cloud Logging server! Error is
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.