Cloud Logging
Este documento fornece orientações sobre como integrar o Cloud Logging ao SOAR do Google Security Operations.
Versão da integração: 1.0
Antes de começar
Para usar a integração, você precisa de uma conta de serviço Google Cloud . É possível usar uma conta de serviço atual ou criar uma nova.
Criar uma conta de serviço
Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.
Se você usa uma conta de serviço para autenticar no Google Cloud, é possível criar uma chave de conta de serviço em JSON e fornecer o conteúdo do arquivo JSON baixado ao configurar os parâmetros de integração.
Por motivos de segurança, recomendamos usar endereços de e-mail da identidade da carga de trabalho em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.
Integrar o Cloud Logging com o SOAR do Google SecOps
A integração do Cloud Logging requer os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Workload Identity Email |
Opcional O endereço de e-mail do cliente da sua identidade da carga de trabalho. É possível configurar este parâmetro ou o Para representar contas de serviço com o endereço de e-mail da identidade da carga de trabalho,
conceda o papel |
User's Service Account |
Opcional O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar este parâmetro ou o Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. Para mais informações sobre como usar contas de serviço como um método de autenticação, consulte Visão geral das contas de serviço. |
Quota Project ID |
Opcional O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel A integração anexa esse valor de parâmetro a todas as solicitações de API. Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto de cota da sua conta de serviço do Google Cloud . |
Organization ID |
Opcional O ID da organização a ser usado na integração. Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
Project ID |
Opcional O ID do projeto a ser usado na integração. Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
Verify SSL |
Obrigatório Se selecionada, a integração verifica se o certificado SSL para conexão com o Cloud Logging é válido. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
A integração do Cloud Logging inclui as seguintes ações:
Executar consulta
Use a ação Executar consulta para executar consultas personalizadas no Cloud Logging.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar consulta exige os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Project ID |
Opcional O ID do projeto a ser usado na integração. Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
Organization ID |
Opcional O ID da organização a ser usado na integração. Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
Query |
Obrigatório Uma consulta para encontrar os registros. |
Time Frame |
Opcional Um período para recuperar os resultados. Se você selecionar Os valores possíveis são:
Last Hour . |
Start Time |
Opcional O horário de início para recuperar resultados. Esse parâmetro é obrigatório se você selecionou a opção Para configurar esse parâmetro, use o formato ISO 8601. |
End Time |
Opcional O horário de término para recuperar resultados. Se você não definir um valor para esse parâmetro e selecionar a opção
Para configurar esse parâmetro, use o formato ISO 8601. |
Max Results To Return |
Opcional O número máximo de resultados a serem retornados. O valor padrão é 50. |
Saídas de ação
A ação Executar consulta fornece as seguintes saídas:
Tipo de saída da ação | Disponibilidade |
---|---|
Anexo do Painel de Casos | Indisponível |
Link do Painel de Casos | Indisponível |
Tabela do painel de casos | Indisponível |
Tabela de enriquecimento | Indisponível |
Resultado JSON | Disponível |
Mensagens de saída | Disponível |
Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Executar consulta:
[{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "system:clouddns"
},
"authorizationInfo": [
{
"granted": true,
"permission": "io.k8s.coordination.v1.leases.update",
"resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
}
],
"methodName": "io.k8s.coordination.v1.leases.update",
"requestMetadata": {
"callerIp": "192.0.2.6",
"callerSuppliedUserAgent": "clouddns-leader-election"
},
"resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
"serviceName": "k8s.io",
"status": {
"code": 0
}
},
"insertId": "ID",
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "CLUSTER_NAME",
"project_id": "PROJECT_ID",
"location": "us-central1"
}
},
"timestamp": "2024-09-18T09:46:38.647428Z",
"labels": {
"authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
"authorization.k8s.io/decision": "allow"
},
"logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
"operation": {
"id": "ID",
"producer": "k8s.io",
"first": true,
"last": true
},
"receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
Mensagens de saída
A ação Executar consulta fornece as seguintes mensagens de saída:
Mensagem de resposta | Descrição da mensagem |
---|---|
|
A ação foi concluída. |
Error executing action "Execute Query". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar consulta:
Nome do resultado do script | Valor |
---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o Cloud Logging.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
Tipo de saída da ação | Disponibilidade |
---|---|
Anexo do Painel de Casos | Indisponível |
Link do Painel de Casos | Indisponível |
Tabela do painel de casos | Indisponível |
Tabela de enriquecimento | Indisponível |
Resultado JSON | Indisponível |
Mensagens de saída | Disponível |
Resultado do script | Disponível |
Mensagens de saída
A ação Ping fornece as seguintes mensagens de saída:
Mensagem de resposta | Descrição da mensagem |
---|---|
Successfully connected to the Cloud Logging server with
the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Cloud Logging server! Error is
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:
Nome do resultado do script | Valor |
---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.