Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud Logging

Questo documento fornisce indicazioni su come integrare Cloud Logging con Google Security Operations SOAR.

Versione integrazione: 1.0

Prima di iniziare

Per utilizzare l'integrazione, devi disporre di un account di servizio Google Cloud . Puoi utilizzare unaccount di serviziot esistente o crearne uno nuovo.

Crea un account di servizio

Per indicazioni sulla creazione di un account di servizio, vedi Creare service account.

Se utilizzi un account di servizio per l'autenticazione a Google Cloud, puoi creare una chiave dell'account di servizio in JSON e fornire i contenuti del file JSON scaricato durante la configurazione dei parametri di integrazione.

Per motivi di sicurezza, ti consigliamo di utilizzare indirizzi email di identità del workload anziché una chiave del account di servizio. Per saperne di più sulle identità dei workload, consulta Identità per i workload.

Integra Cloud Logging con Google SecOps SOAR

L'integrazione di Cloud Logging richiede i seguenti parametri:

Parametro	Descrizione
`Workload Identity Email`	Optional L'indirizzo email client della tua identità del carico di lavoro. Puoi configurare questo parametro o il parametro `User's Service Account`. Per simulare l'identità dei service account con l'indirizzo email dell'identità del carico di lavoro, concedi il ruolo `Service Account Token Creator` al tuo account di servizio. Per maggiori dettagli sulle identità dei workload e su come utilizzarle, consulta Identità per i workload.
`User's Service Account`	Optional Il contenuto del file JSON della chiave dell'account di servizio. Puoi configurare questo parametro o il parametro `Workload Identity Email`. Per configurare questo parametro, fornisci l'intero contenuto del file JSON della chiave dell'account di servizio che hai scaricato durante la creazione di un account di servizio. Per ulteriori informazioni sull'utilizzo dei service account come metodo di autenticazione, consulta Panoramica dei service account.
`Quota Project ID`	Optional L'ID progetto che utilizzi per le API e la fatturazione. Google Cloud Google Cloud Questo parametro richiede che tu conceda il ruolo `Service Usage Consumer` al tuo account di servizio. L'integrazione associa questo valore parametro a tutte le richieste API. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto quota dal tuo account di servizio Google Cloud .
`Organization ID`	Optional L'ID organizzazione da utilizzare nell'integrazione. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
`Project ID`	Optional L'ID progetto da utilizzare nell'integrazione. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
`Verify SSL`	Obbligatorio Se selezionata, l'integrazione verifica che il certificato SSL per la connessione a Cloud Logging sia valido. Questa opzione è selezionata per impostazione predefinita.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

L'integrazione di Cloud Logging include le seguenti azioni:

Esegui query
Ping

Esegui query

Utilizza l'azione Esegui query per eseguire query personalizzate in Cloud Logging.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui query richiede i seguenti parametri:

Parametro	Descrizione
`Project ID`	Optional L'ID progetto da utilizzare nell'integrazione. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
`Organization ID`	Optional L'ID organizzazione da utilizzare nell'integrazione. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
`Query`	Obbligatorio Una query per trovare i log.
`Time Frame`	Optional Un periodo da cui recuperare i risultati. Se selezioni `Custom`, configura anche il parametro `Start Time`. I valori possibili sono: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` Il valore predefinito è `Last Hour`.
`Start Time`	Optional L'ora di inizio per recuperare i risultati. Questo parametro è obbligatorio se hai selezionato l'opzione `Custom` per il parametro `Time Frame`. Per configurare questo parametro, utilizza il formato ISO 8601.
`End Time`	Optional L'ora di fine per recuperare i risultati. Se non imposti un valore per questo parametro e selezioni l'opzione `Custom` per il parametro `Time Frame`, l'azione utilizza l'ora corrente come ora di fine. Per configurare questo parametro, utilizza il formato ISO 8601.
`Max Results To Return`	Optional Il numero massimo di risultati da restituire. Il valore predefinito è 50.

Output dell'azione

L'azione Esegui query fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query:

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]

Messaggi di output

L'azione Esegui query fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully executed query "QUERY" in Cloud Logging.` `No results were found for the provided query.`	L'azione è riuscita.
`Error executing action "Execute Query". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

L'azione è riuscita.

Error executing action "Execute Query". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Esegui query:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Dindin

Utilizza l'azione Ping per testare la connettività a Cloud Logging.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Ping fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the Cloud Logging server with the provided connection parameters! L'azione è riuscita.

Messaggio di output	Descrizione del messaggio
`Successfully connected to the Cloud Logging server with the provided connection parameters!`	L'azione è riuscita.
`Failed to connect to the Cloud Logging server! Error is ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Failed to connect to the Cloud Logging server! Error is
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.