Cloud Logging
本文档提供了有关如何将 Cloud Logging 与 Google Security Operations SOAR 集成的指南。
集成版本:1.0
准备工作
如需使用此集成,您需要拥有 Google Cloud 服务账号。您可以使用现有服务账号,也可以创建新服务账号。
创建服务账号
如需有关创建服务账号的指南,请参阅创建服务账号。
如果您使用服务账号向 Google Cloud进行身份验证,则可以创建 JSON 格式的服务账号密钥,并在配置集成参数时提供下载的 JSON 文件的内容。
出于安全考虑,我们建议您使用工作负载身份电子邮件地址,而不是服务账号密钥。如需详细了解工作负载身份,请参阅工作负载身份。
将 Cloud Logging 与 Google SecOps SOAR 集成
Cloud Logging 集成需要以下参数:
| 参数 | 说明 |
|---|---|
Workload Identity Email |
可选 工作负载身份的客户端电子邮件地址。 您可以配置此参数或 如需使用工作负载身份电子邮件地址模拟服务账号,请向您的服务账号授予 |
User's Service Account |
可选 服务账号密钥 JSON 文件的内容。 您可以配置此参数或 如需配置此参数,请提供您在创建服务账号时下载的服务账号密钥 JSON 文件的完整内容。 如需详细了解如何使用服务账号作为身份验证方法,请参阅服务账号概览。 |
Quota Project ID |
可选 您用于 Google Cloud API 和结算的 Google Cloud 项目 ID。此形参要求您向服务账号授予 集成会将此参数值附加到所有 API 请求。 如果您未为此参数设置值,集成会从您的 Google Cloud 服务账号中检索配额项目 ID。 |
Organization ID |
可选 要在集成中使用的组织 ID。 如果您未为此参数设置值,集成会从您的 Google Cloud 服务账号中检索项目 ID。 |
Project ID |
可选 集成中要使用的项目 ID。 如果您未为此参数设置值,集成会从您的 Google Cloud 服务账号中检索项目 ID。 |
Verify SSL |
必需 如果选择此选项,集成会验证用于连接到 Cloud Logging 的 SSL 证书是否有效。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
Cloud Logging 集成包括以下操作:
执行查询
使用执行查询操作可在 Cloud Logging 中执行自定义查询。
此操作不适用于 Google SecOps 实体。
操作输入
执行查询操作需要以下参数:
| 参数 | 说明 |
|---|---|
Project ID |
可选 集成中要使用的项目 ID。 如果您未为此参数设置值,集成会从您的 Google Cloud 服务账号中检索项目 ID。 |
Organization ID |
可选 要在集成中使用的组织 ID。 如果您未为此参数设置值,集成会从您的 Google Cloud 服务账号中检索项目 ID。 |
Query |
必需 用于查找日志的查询。 |
Time Frame |
可选 用于检索结果的时间段。 如果您选择 可能的值如下:
Last Hour。 |
Start Time |
可选 用于检索结果的开始时间。 如果您为 如需配置此参数,请使用 ISO 8601 格式。 |
End Time |
可选 检索结果的结束时间。 如果您未为此参数设置值,并且为 如需配置此参数,请使用 ISO 8601 格式。 |
Max Results To Return |
可选 需返回的结果数上限。 默认值为 50。 |
操作输出
执行查询操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 执行查询操作时收到的 JSON 结果输出:
[{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "system:clouddns"
},
"authorizationInfo": [
{
"granted": true,
"permission": "io.k8s.coordination.v1.leases.update",
"resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
}
],
"methodName": "io.k8s.coordination.v1.leases.update",
"requestMetadata": {
"callerIp": "192.0.2.6",
"callerSuppliedUserAgent": "clouddns-leader-election"
},
"resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
"serviceName": "k8s.io",
"status": {
"code": 0
}
},
"insertId": "ID",
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "CLUSTER_NAME",
"project_id": "PROJECT_ID",
"location": "us-central1"
}
},
"timestamp": "2024-09-18T09:46:38.647428Z",
"labels": {
"authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
"authorization.k8s.io/decision": "allow"
},
"logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
"operation": {
"id": "ID",
"producer": "k8s.io",
"first": true,
"last": true
},
"receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
输出消息
执行查询操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Execute Query". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Execute Query 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Cloud Logging 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Cloud Logging server with
the provided connection parameters! |
操作成功。 |
Failed to connect to the Cloud Logging server! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。