Cloud Logging

Este documento fornece orientações sobre como integrar o Cloud Logging ao SOAR do Google Security Operations.

Versão da integração: 1.0

Antes de começar

Para usar a integração, você precisa de uma conta de serviço Google Cloud . É possível usar uma conta de serviço atual ou criar uma nova.

Criar uma conta de serviço

Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.

Se você usa uma conta de serviço para autenticar no Google Cloud, é possível criar uma chave de conta de serviço em JSON e fornecer o conteúdo do arquivo JSON baixado ao configurar os parâmetros de integração.

Por motivos de segurança, recomendamos usar endereços de e-mail da identidade da carga de trabalho em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.

Integrar o Cloud Logging com o SOAR do Google SecOps

A integração do Cloud Logging requer os seguintes parâmetros:

Parâmetro Descrição
Workload Identity Email Opcional

O endereço de e-mail do cliente da sua identidade da carga de trabalho.

É possível configurar este parâmetro ou o User's Service Account.

Para representar contas de serviço com o endereço de e-mail da identidade da carga de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.

User's Service Account Opcional

O conteúdo do arquivo JSON da chave da conta de serviço.

É possível configurar este parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.

Para mais informações sobre como usar contas de serviço como um método de autenticação, consulte Visão geral das contas de serviço.

Quota Project ID Opcional

O ID do projeto Google Cloud que você usa para APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel Service Usage Consumer à sua conta de serviço.

A integração anexa esse valor de parâmetro a todas as solicitações de API.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto de cota da sua conta de serviço do Google Cloud .

Organization ID Opcional

O ID da organização a ser usado na integração.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .

Project ID Opcional

O ID do projeto a ser usado na integração.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .

Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para conexão com o Cloud Logging é válido.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

A integração do Cloud Logging inclui as seguintes ações:

Executar consulta

Use a ação Executar consulta para executar consultas personalizadas no Cloud Logging.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar consulta exige os seguintes parâmetros:

Parâmetro Descrição
Project ID Opcional

O ID do projeto a ser usado na integração.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .

Organization ID Opcional

O ID da organização a ser usado na integração.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .

Query Obrigatório

Uma consulta para encontrar os registros.

Time Frame Opcional

Um período para recuperar os resultados.

Se você selecionar Custom, também configure o parâmetro Start Time.

Os valores possíveis são:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom
O valor padrão é Last Hour.
Start Time Opcional

O horário de início para recuperar resultados.

Esse parâmetro é obrigatório se você selecionou a opção Custom para o parâmetro Time Frame.

Para configurar esse parâmetro, use o formato ISO 8601.

End Time Opcional

O horário de término para recuperar resultados.

Se você não definir um valor para esse parâmetro e selecionar a opção Custom para o parâmetro Time Frame, a ação usará a hora atual como o horário de término.

Para configurar esse parâmetro, use o formato ISO 8601.

Max Results To Return Opcional

O número máximo de resultados a serem retornados.

O valor padrão é 50.

Saídas de ação

A ação Executar consulta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Executar consulta:

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
Mensagens de saída

A ação Executar consulta fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

A ação foi concluída.
Error executing action "Execute Query". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar consulta:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com o Cloud Logging.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the Cloud Logging server with the provided connection parameters! A ação foi concluída.
Failed to connect to the Cloud Logging server! Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.