收集 Google Cloud Compute 記錄
支援以下發布途徑:
Google secops
Siem
本文件說明如何設定 Google Cloud Compute 記錄匯出至 Google 安全作業,並使用 Cloud Storage 進行匯出。剖析器會擷取欄位、將訊息欄位正規化,並將擷取的資料對應至統一資料模型 (UDM) 結構定義,以便一致地呈現安全性事件。它可處理各種記錄格式,包括類似 syslog 的訊息和鍵/值組合,並根據擷取的欄位 (例如 type 和 action) 將事件分類。
事前準備
請確認您已完成下列事前準備:
- Google SecOps 執行個體。
- 在 Google Cloud 環境中設定並啟用運算功能。
- Google Cloud的特殊存取權。
建立 Google Cloud Storage 值區
- 登入 Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage 值區) 頁面。
按一下 [建立]。
在「Create a bucket」(建立值區) 頁面中輸入值區資訊。完成下列每個步驟後,請按一下「繼續」繼續下一步:
在「開始使用」部分執行下列操作:
- 輸入符合值區名稱規定的不重複名稱,例如「compute-logs」。
如要啟用階層命名空間,請按一下展開箭頭,展開「Optimize for file oriented and data-intensive workloads」部分,然後選取「Enable Hierarchical namespace on this bucket」。
- 如要新增分類標籤,請按一下展開箭頭,展開「Labels」部分。
- 按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:
選取「位置類型」。
- 使用位置類型選單選取位置,指定要永久儲存值區內物件資料的位置。
- 如要設定跨值區複製作業,請展開「設定跨值區複製作業」部分。
在「Choose a storage class for your data」專區中,為值區選取預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區的資料儲存空間級別。
在「選取如何控制物件的存取權」專區中,選取「否」來強制執行公開存取防護,然後為值區物件選取存取權控管模型。
在「Choose how to protect object data」(選擇保護物件資料的方式) 專區中執行下列操作:
- 選取「資料保護」下方的任一選項,設定值區。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
按一下 [建立]。
設定 Google Cloud 運算記錄匯出功能
- 在 Google Cloud 控制台中,依序前往「Logging」>「Log Router」。
- 按一下「建立接收器」。
請提供下列詳細資料:
- 接收器名稱:提供有意義的名稱,例如「Compute-Logs-Sink」。
- Sink Destination:選取 Cloud Storage。
- Sink Destination:選取 Cloud Storage,然後輸入值區 URI,例如
gs://<your-bucket-name>/compute-logs。 記錄檔篩選器:設定篩選器,以便擷取 Google Cloud Compute 記錄,如下所示:
記錄名稱和類型:
logName="*compute*"網路相關欄位 (例如 IP 位址、通訊埠):
jsonPayload.connection.dest_ip="*" OR jsonPayload.connection.src_ip="*"執行個體詳細資料:
jsonPayload.dest_instance.project_id="*" jsonPayload.src_instance.project_id="*"安全性相關詳細資料:
jsonPayload.rule_details.action="ALLOW" OR jsonPayload.rule_details.action="BLOCK"
按一下 [建立]。
設定 Cloud Storage 權限
- 依序前往「IAM」>「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 找出 Cloud Logging 服務帳戶,例如 [email protected]。
- 為該使用者指派值區的 roles/storage.admin 角色。
設定動態饋給
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Google Cloud Compute Logs」。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「GCP Compute」做為「記錄類型」。
- 按一下「取得服務帳戶」,做為「Chronicle 服務帳戶」。
- 點選「下一步」。
指定下列輸入參數的值:
- Storage Bucket URI: Google Cloud 以
gs://my-bucket/<value>格式表示的儲存空間值區網址。 - URI 是:選取「Directory which includes subdirectories」。
來源刪除選項:根據偏好選取刪除選項。
- Storage Bucket URI: Google Cloud 以
點選「下一步」。
在「完成」畫面中查看新的動態饋給設定,然後按一下「提交」。
透過內容中心設定動態饋給
指定下列欄位的值:
- Storage Bucket URI: Google Cloud 以
gs://my-bucket/<value>格式表示的儲存空間值區網址。 - URI 是:選取「Directory which includes subdirectories」。
- 來源刪除選項:根據偏好選取刪除選項。
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 素材資源命名空間:與動態饋給相關聯的命名空間。
- 攝入標籤:套用至這個動態饋給中所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| addr | read_only_udm.principal.ip | 如果欄位不為空白或「?」,則會合併至主要 IP 位址清單。 |
| jsonPayload.connection.dest_ip | read_only_udm.target.ip | 如果該欄位存在,就會合併至目標 IP 位址清單。 |
| jsonPayload.connection.dest_port | read_only_udm.target.port | 轉換為字串,然後轉換為整數,如果轉換期間沒有發生錯誤,就會進行對應。 |
| jsonPayload.connection.protocol | read_only_udm.network.ip_protocol | 轉換為字串,然後轉換為整數。用於使用查詢表判斷 IP 通訊協定 (TCP、UDP 等),並在轉換期間沒有發生錯誤時進行對應。 |
| jsonPayload.connection.src_ip | read_only_udm.principal.ip | 如果欄位存在,就會合併至主要 IP 位址清單。 |
| jsonPayload.connection.src_port | read_only_udm.principal.port | 轉換為字串,然後轉換為整數,如果轉換期間沒有發生錯誤,就會進行對應。 |
| jsonPayload.dest_instance.project_id | read_only_udm.target.resource.product_object_id | 如果 jsonPayload.dest_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.dest_instance.region | read_only_udm.target.location.name | 如果 jsonPayload.dest_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.dest_instance.vm_name | read_only_udm.target.resource.attribute.cloud.project.name | 如果 jsonPayload.dest_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.dest_instance.zone | read_only_udm.target.resource.attribute.cloud.availability_zone | 如果 jsonPayload.dest_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.dest_vpc.project_id | read_only_udm.target.cloud.vpc.product_object_id | 用於對應相關欄位的條件。 |
| jsonPayload.dest_vpc.subnetwork_name | read_only_udm.target.cloud.vpc.name | 如果 jsonPayload.dest_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.instance.project_id | read_only_udm.target.resource.product_object_id | 如果 jsonPayload.instance.project_id 存在,則會條件式對應。 |
| jsonPayload.instance.region | read_only_udm.target.location.name | 如果 jsonPayload.instance.project_id 存在,則會條件式對應。 |
| jsonPayload.instance.vm_name | read_only_udm.target.resource.attribute.cloud.project.name | 如果 jsonPayload.instance.project_id 存在,則會條件式對應。 |
| jsonPayload.instance.zone | read_only_udm.target.resource.attribute.cloud.availability_zone | 如果 jsonPayload.instance.project_id 存在,則會條件式對應。 |
| jsonPayload.message | read_only_udm.metadata.product_event_type, read_only_udm.principal.application, read_only_udm.target.process.pid, read_only_udm.target.user.userid, read_only_udm.principal.hostname, read_only_udm.target.process.command_line, read_only_udm.security_result.description, read_only_udm.principal.process.file.full_path | 根據 Grok 模式和條件邏輯剖析並對應至不同欄位。 |
| jsonPayload.rule_details.action | read_only_udm.security_result.action | 用於判斷安全性結果動作 (允許/封鎖) 並進行對應。 |
| jsonPayload.rule_details.direction | read_only_udm.network.direction | 用於判斷網路方向 (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) 並進行對應。 |
| jsonPayload.rule_details.priority | read_only_udm.security_result.priority_details | 如果轉換期間沒有發生錯誤,就會轉換為字串並對應。 |
| jsonPayload.rule_details.reference | read_only_udm.security_result.rule_labels.value | 對應至規則標籤值。 |
| jsonPayload.src_instance.project_id | read_only_udm.principal.resource.product_object_id | 如果 jsonPayload.src_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.src_instance.region | read_only_udm.principal.location.name | 如果 jsonPayload.src_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.src_instance.vm_name | read_only_udm.principal.resource.attribute.cloud.project.name | 如果 jsonPayload.src_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.src_instance.zone | read_only_udm.principal.resource.attribute.cloud.availability_zone | 如果 jsonPayload.src_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.src_vpc.project_id | read_only_udm.principal.cloud.vpc.product_object_id | 用於對應相關欄位的條件。 |
| jsonPayload.src_vpc.subnetwork_name | read_only_udm.principal.cloud.vpc.name | 如果 jsonPayload.src_vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.vpc.project_id | read_only_udm.target.cloud.vpc.product_object_id | 如果 jsonPayload.vpc.project_id 存在,則會條件式對應。 |
| jsonPayload.vpc.subnetwork_name | read_only_udm.target.cloud.vpc.name | 如果 jsonPayload.vpc.project_id 存在,則會條件式對應。 |
| logName | read_only_udm.security_result.category_details | 直接對應。 |
| resource.labels.instance_id | read_only_udm.principal.resource.product_object_id, read_only_udm.principal.asset_id | 條件式對應。如果類型為「PROCTITLE」,則會用來建構素材資源 ID。 |
| resource.labels.location | read_only_udm.principal.location.name | 如果欄位存在,則會條件式對應。 |
| resource.labels.project_id | read_only_udm.metadata.product_deployment_id | 如果欄位存在,則會條件式對應。 |
| resource.labels.zone | read_only_udm.principal.resource.attribute.cloud.availability_zone | 如果欄位存在,則會條件式對應。 |
| resource.type | read_only_udm.metadata.event_type | 用於判斷事件類型並進行對應。 |
| 時間戳記 | read_only_udm.metadata.event_timestamp | 直接對應。 |
| 類型 | read_only_udm.metadata.product_event_type, read_only_udm.metadata.event_type, read_only_udm.extensions.auth.type | 用於判斷事件類型、產品事件類型和驗證類型,並進行對應。 |
| read_only_udm.metadata.event_type | 邏輯會根據「type」欄位和其他條件設定事件類型。如果沒有找到特定相符項目,則預設為「GENERIC_EVENT」。 | |
| read_only_udm.metadata.log_type | 常數值「GCP_COMPUTE」。 | |
| read_only_udm.metadata.vendor_name | 常數值「Google Cloud Platform」。 | |
| read_only_udm.metadata.product_name | 常數值「Google Cloud Platform」。 | |
| read_only_udm.security_result.rule_labels.key | 常數值「Reference」。 | |
| read_only_udm.target.cloud.vpc.resource_type | 如果 jsonPayload.instance.project_id 或 jsonPayload.dest_vpc.project_id 存在,則會依條件設為「VPC_NETWORK」。 | |
| read_only_udm.target.resource.attribute.cloud.environment | 如果 jsonPayload.instance.project_id、jsonPayload.dest_vpc.project_id 或 jsonPayload.src_vpc.project_id 存在,則會條件式設為「GOOGLE_CLOUD_PLATFORM」。 | |
| read_only_udm.principal.administrative_domain | 從「kv_data」欄位擷取的「Account Domain」欄位對應而來。 | |
| read_only_udm.principal.user.user_display_name | 從「kv_data」欄位擷取的「帳戶名稱」欄位對應而來。 | |
| read_only_udm.target.resource.name | 從「kv_data」欄位擷取的「Object Name」欄位對應而來。 | |
| read_only_udm.target.resource.type | 從「kv_data」欄位擷取的「Object Type」欄位對應而來。 | |
| read_only_udm.principal.process.pid | 從「kv_data」欄位擷取的「Process ID」欄位對應而來。 | |
| read_only_udm.target.user.windows_sid | 從「kv_data」欄位擷取的「Security ID」欄位對應而來。 | |
| read_only_udm.network.session_id | 從「auid」欄位對應而來。 |
異動
2024-06-18
改善項目:
- 將「file」對應至「principal.file.names」。
- 將「function」對應至「principal.resource.attribute.labels」。
- 已將「line」對應至「principal.resource.attribute.labels」。
- 將「時間戳記」對應至「event_timestamp」。
2023-02-24
修正錯誤:
- 新增「asset_id」對應項目,方便在使用者介面中進行搜尋:將「asset:resource.labels.instance_id」對應至「principal.asset_id」
2022-06-16
改善項目:
- 新增下列欄位的對應項目:jsonPayload.Message 為 syslog。
- 將程序名稱設為 principal.application。
- 將程序 ID 設為 principal.process.pid。
- 帳戶網域為 principal.administrative_domain。
- 將帳戶名稱改為 principal.user.user_display_name。
- 物件名稱,格式為 target.resource.name。
- 物件類型為 target.resource.type。
- 目標.user.windows_sid 的安全性 ID。
- addr 為 principal.ip。
- 將 auid 設為 network.session_id。
- 將 Linux 記錄的「LINUX - %{type}」和 Windows 記錄的「WINDOWS 事件記錄」對應至 metadata.product_event_type。
- pid 為 target.process.pid。
- acct 為 target.user.userid。
- exe 為 target.process.command_line。
- 將 file_path 設為 principal.process.file.full_path。
- 將 desc 的對應項目從 metadata.description 變更為 security_result.description。
2022-05-23
改善項目:
- 新增下列欄位的對應關係:
- 將 jsonPayload.message 設為系統記錄檔。
- resource.labels.zone 改為 principal.resource.attribute.cloud.availability_zone。
- resource.labels.location 改為 principal.location.name。
- resource.labels.project_id 改為 metadata.product_deployment_id。
- resource.labels.instance_id 改為 principal.resource.product_object_id。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。