Google Cloud-Daten in Google Security Operations aufnehmen
Auf dieser Seite wird beschrieben, wie Sie die Aufnahme Ihrer Google Cloud-Daten in Google Security Operations aktivieren und deaktivieren. Mit Google Security Operations können Sie die aggregierten Sicherheitsinformationen für Ihr Unternehmen, die gemäß Ihrer Aufbewahrungsdauer für mehrere Monate oder länger zurückliegen, speichern, durchsuchen und prüfen.
Überblick
Es gibt zwei Möglichkeiten, Google Cloud-Daten an Google Security Operations zu senden. Die Wahl der richtigen Option hängt vom Logtyp ab.
Option 1: Direkte Datenaufnahme
In Google Cloud kann ein spezieller Cloud Logging-Filter konfiguriert werden, um bestimmte Logtypen in Echtzeit an Google Security Operations zu senden. Diese Logs werden von Google Cloud-Diensten generiert.
Google Security Operations empfängt Logs auch dann, wenn sie in Google Cloud auf Projektebene ausgeschlossen wurden, jedoch sowohl im Logexportfilter als auch im Google Cloud-Logging auf Organisationsebene enthalten sind. Wenn Sie Logs aus Google Security Operations ausschließen möchten, müssen Sie den Logexportfilter für Google Security Operations in Google Cloud aktualisieren.
Verfügbare Logtypen:
- Cloud-Audit-Logs
- Cloud NAT
- Cloud DNS
- Firewall der nächsten Generation
- Cloud Intrusion Detection System
- Cloud Load Balancing
- Cloud SQL
- Windows-Ereignisprotokolle
- Linux-Syslog
- Linux Sysmon
- Zeek
- Google Kubernetes Engine
- Audit-Daemon (geprüft)
- Apigee
- reCAPTCHA Enterprise
- Cloud Run-Logs (
GCP_RUN
) - Firewall der nächsten Generation
Verwenden Sie Option 2, um Anwendungslogs für Compute Engine oder Google Kubernetes Engine (GKE) (z. B. Apache, Nginx oder IIS) zu erfassen. Erstellen Sie außerdem ein Support-Ticket bei Google Security Operations, um Feedback für zukünftige Unterstützung als Logtyp mit Option 1 zu geben.
Spezielle Logfilter und Details zur Aufnahme finden Sie unter Google Cloud-Logs in Google-Sicherheitsvorgänge exportieren.
Zusätzliche Google Cloud-Metadaten zur Anreicherung können auch an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten in Google Security Operations exportieren.
Option 2: Google Cloud Storage
Cloud Logging kann Logs an Cloud Storage weiterleiten, damit sie von Google Security Operations nach einem Zeitplan abgerufen werden.
Ausführliche Informationen zur Konfiguration von Cloud Storage für Google Security Operations finden Sie unter Feedverwaltung: Cloud Storage.
Hinweise
Bevor Sie Ihre Google Cloud-Daten in Ihre Google Security Operations-Instanz aufnehmen können, müssen Sie die folgenden Schritte ausführen:
Wenden Sie sich an Ihren Google Security Operations-Beauftragten und rufen Sie den einmaligen Zugriffscode ab, den Sie zum Aufnehmen Ihrer Google Cloud-Daten benötigen.
Weisen Sie die folgenden IAM-Rollen zu, die für den Zugriff auf den Bereich „Google-Sicherheitsvorgänge“ erforderlich sind:
- Chronicle Service Admin (
roles/chroniclesm.admin
): IAM-Rolle zum Ausführen aller Aktivitäten - Chronicle Service Viewer (
roles/chroniclesm.viewer
): IAM-Rolle zum Ansehen des Aufnahmestatus. - Sicherheitscenter-Admin-Bearbeiter (
roles/securitycenter.adminEditor
): Erforderlich, um die Aufnahme von Cloud-Asset-Metadaten zu aktivieren.
- Chronicle Service Admin (
Wenn Sie Cloud-Asset-Metadaten aktivieren möchten, müssen Sie auch den Google Cloud-Dienst der Standard-Stufe von Security Command Center oder der Premium-Stufe von Security Command Center aktivieren. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.
IAM-Rollen zuweisen
Sie können die erforderlichen IAM-Rollen über die Google Cloud Console oder die gcloud CLI gewähren.
Führen Sie die folgenden Schritte aus, um IAM-Rollen mithilfe der Google Cloud Console zuzuweisen:
- Melden Sie sich bei der Google Cloud-Organisation an, zu der Sie eine Verbindung herstellen möchten, und rufen Sie den IAM-Bildschirm über Produkte > IAM und Verwaltung > IAM auf.
Wählen Sie im IAM-Bildschirm den Nutzer aus und klicken Sie auf Mitglied bearbeiten.
Klicken Sie im Bildschirm „Berechtigungen bearbeiten“ auf Weitere Rolle hinzufügen und suchen Sie nach „Google Security Operations“, um die IAM-Rollen zu finden.
Nachdem Sie die Rollen zugewiesen haben, klicken Sie auf Speichern.
Führen Sie die folgenden Schritte aus, um IAM-Rollen über die Google Cloud CLI zuzuweisen:
Sie müssen in der richtigen Organisation angemeldet sein. Prüfen Sie dies mit dem Befehl
gcloud init
.Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Chronicle Service Admin“ mit
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.admin
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: die numerische Organisations-IDUSER_EMAIL
ist die E-Mail-Adresse des Administrators.
Führen Sie den folgenden Befehl aus, um die IAM-Rolle „Google Security Operations Service Viewer“ mithilfe von
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.viewer
Führen Sie den folgenden Befehl aus, um die Rolle „Sicherheitscenter-Administratorbearbeiter“ mit
gcloud
zu gewähren:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/securitycenter.adminEditor`
Google Cloud-Datenaufnahme aktivieren
Google Cloud-Daten werden mit einer privaten internen API zwischen Security Command Center und Google Security Operations aufgenommen. Die Aufnahme erreicht niemals das externe Netzwerk und verwendet niemals IP-Adressen. Google greift direkt auf die Google Cloud-Logs zu, basierend auf der Authentifizierung mit dem Einmalcode, der von Google Security Operations for Security Command Center bereitgestellt wird.
Führen Sie die folgenden Schritte aus, um die Datenaufnahme von Ihrer Google Cloud-Organisation in Ihre Google Security Operations-Instanz zu aktivieren:
Rufen Sie die Seite „Google Security Operations“ für die Google Cloud Console auf.
Zur Seite „Google-Sicherheitsvorgänge“Geben Sie Ihren einmaligen Zugriffscode in das Feld Einmalzugriffscode für Google Security Operations ein.
Klicken Sie auf das Kästchen Ich stimme den Nutzungsbedingungen zur Nutzung meiner Google Cloud-Daten durch Chronicle zu, um der Nutzung von Google Security Operations zuzustimmen.
Klicken Sie auf Connect Google Security Operations (Google-Sicherheitsvorgänge verbinden).
Ihre Google Cloud-Daten werden jetzt an Google Security Operations gesendet. Mit den Analysefunktionen von Google Security Operations können Sie sicherheitsrelevante Probleme untersuchen. In den folgenden Abschnitten werden Möglichkeiten zum Anpassen der Arten von Google Cloud-Daten beschrieben, die an Google Security Operations gesendet werden
Google Cloud-Logs in Google-Sicherheitsvorgänge exportieren
Sie können die folgenden Arten von Google Cloud-Daten in Ihre Google Security Operations-Instanz exportieren:
- GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (vom Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/system_event") (vom Standardfilter exportiert)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
- GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
- GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (vom Standardfilter exportiert)
- GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
- GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
- GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Dazu gehören Logs von Google Cloud Armor und Cloud Load Balancing
- GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
- NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
- LINUX_SYSMON:
- log_id("sysmon.raw")
- WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
- BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
- KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
- PRÜFUNG:
- log_id("audit_log")
- GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Passen Sie den regulären Ausdruck des Logfilters nach Bedarf an
- GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
- GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
- GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")
Stellen Sie die Ein/Aus-Schaltfläche für Google Cloud-Logs auf „Aktiviert“, um Ihre Google Cloud-Logs nach Google Security Operations zu exportieren. Alle oben aufgeführten Google Cloud-Logtypen werden in Ihre Google Security Operations-Instanz exportiert.
Best Practices für die Verwendung von Logfiltern finden Sie unter Sicherheitsloganalysen in Google Cloud.
Filtereinstellungen exportieren
Standardmäßig werden Ihre Cloud-Audit-Logs (Administratoraktivität und Systemereignisse) sowie Cloud DNS-Logs an Ihr Google Security Operations-Konto gesendet. Sie können den Exportfilter jedoch so anpassen, dass bestimmte Arten von Logs ein- oder ausgeschlossen werden. Der Exportfilter basiert auf der Google-Logging-Abfragesprache.
So definieren Sie einen benutzerdefinierten Filter für Ihre Logs:
Definieren Sie den Filter, indem Sie in der Logging-Abfragesprache einen benutzerdefinierten Filter für Ihre Logs erstellen. In der folgenden Dokumentation wird beschrieben, wie Sie diesen Filtertyp definieren: /logging/docs/view/logging-query-language
Navigieren Sie über den Link auf dem Tab Exportfiltereinstellungen zum Log-Explorer, kopieren Sie Ihre neue Abfrage in das Feld Abfrage und klicken Sie auf Abfrage ausführen, um sie zu testen.
Prüfen Sie, ob die im Log-Explorer angezeigten übereinstimmenden Logs genau dem entsprechen, was Sie in Google Security Operations exportieren möchten.
Führen Sie auf dem Tab Exportfiltereinstellungen die folgenden Schritte aus:
Wenn der Filter fertig ist, klicken Sie auf das Symbol „Bearbeiten“ und fügen Sie den Filter in das Feld Filter exportieren ein.
Klicken Sie auf Benutzerdefinierten Filter speichern. Der neue benutzerdefinierte Filter funktioniert auf alle neuen Logs, die in Ihr Google Security Operations-Konto exportiert wurden.
Sie können den Exportfilter auf die Standardversion zurücksetzen, indem Sie auf Auf Standard zurücksetzen klicken. Speichern Sie zuerst eine Kopie des benutzerdefinierten Filters.
Cloud-Audit-Logfilter abstimmen
Cloud-Audit-Datenzugriffslogs können große Logvolumen ohne großen Wert zur Bedrohungserkennung erzeugen. Wenn Sie diese Logs an Google Security Operations senden möchten, sollten Sie Logs herausfiltern, die durch Routineaktivitäten generiert werden.
Mit dem folgenden Exportfilter werden Datenzugriffslogs erfasst und Ereignisse mit hohem Volumen wie Lese- und Listenvorgänge von Cloud Storage und Cloud SQL ausgeschlossen:
( `log_id("cloudaudit.googleapis.com/data_access")`
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Weitere Informationen zur Abstimmung von Cloud-Audit-Datenzugriffslogs finden Sie hier.
Beispiele für Exportfilter
Die folgenden Exportfilterbeispiele zeigen, wie Sie bestimmte Arten von Logs für den Export in Ihr Google Security Operations-Konto ein- oder ausschließen können.
Exportfilter Beispiel 1: Zusätzliche Logtypen einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Access Transparency-Logs exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Exportfilter – Beispiel 2: Zusätzliche Logs aus einem bestimmten Projekt einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Zugriffstransparenzlogs aus einem bestimmten Projekt exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Exportfilter Beispiel 3: Zusätzliche Protokolle aus einem bestimmten Ordner einschließen
Mit dem folgenden Exportfilter werden zusätzlich zu den Standardlogs Logs für die Zugriffstransparenz aus einem bestimmten Ordner exportiert:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Exportfilter Beispiel 4: Logs aus einem bestimmten Projekt ausschließen
Mit dem folgenden Exportfilter werden die Standardlogs der gesamten Google Cloud-Organisation mit Ausnahme eines bestimmten Projekts exportiert:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Google Cloud-Asset-Metadaten in Google Security Operations exportieren
Sie können Ihre Google Cloud-Asset-Metadaten in Google Security Operations exportieren. Diese Asset-Metadaten stammen aus Ihrem Google Cloud Asset Inventory und bestehen aus Informationen zu Ihren Assets, Ressourcen und Identitäten, darunter:
- Umgebung
- Standort
- Zone
- Hardwaremodelle
- Zugriffssteuerungsbeziehungen zwischen Ressourcen und Identitäten
Die folgenden Arten von Google Cloud-Asset-Metadaten werden in Ihr Google Security Operations-Konto exportiert:
- GCP_BIGQUERY_CONTEXT
- GCP_CLOUD_FUNCTIONS_CONTEXT
- GCP_COMPUTE_CONTEXT
- GCP_IAM_CONTEXT
- GCP_IAM_ANALYSIS
- GCP_KUBERNETES_CONTEXT
- GCP_NETWORK_CONNECTIVITY_CONTEXT
- GCP_RESOURCE_MANAGER_CONTEXT
- GCP_SQL_CONTEXT
- GCP_STORAGE_CONTEXT
Im Folgenden finden Sie einige Beispiele für Google Cloud-Asset-Metadaten:
- Name der Anwendung:
Google-iamSample/0.1
- Projektname:
projects/my-project
Beispiele für die Felder von Resource Manager-Kontextlogfeldern sind assetType
, resource.data.name
und resource.version
.
Weitere Informationen zu Ressourcentypen finden Sie unter Von Cloud Asset Inventory unterstützte Ressourcentypen.
Stellen Sie die Ein/Aus-Schaltfläche Cloud-Asset-Metadaten auf „Aktiviert“, um Ihre Google Cloud-Asset-Metadaten nach Google Security Operations zu exportieren.
Referenz zur Feldzuordnung und unterstützte Ressourcentypen
Die folgende Tabelle enthält die von Google Security Operations unterstützten Kontextparser, das entsprechende Aufnahmelabel und die unterstützten Ressourcentypen.
Klicken Sie in der Tabelle auf den Namen des entsprechenden Kontextparsers, um die Zuordnungsreferenzdokumentation des Kontextparsers aufzurufen.
Security Command Center-Ergebnisse werden in Google Security Operations exportiert
Sie können Ergebnisse von Event Threat Detection (ETD) von Security Command Center Premium und alle anderen Ergebnisse nach Google Security Operations exportieren.
Weitere Informationen zu den Ergebnissen von Event Threat Detection finden Sie in der Übersicht zu Security Command Center.
Aktivieren Sie die Ein/Aus-Schaltfläche Security Command Center Premium-Ergebnisse, um die Ergebnisse der Premium-Stufe von Security Command Center nach Google Security Operations zu exportieren.
Schutz sensibler Daten in Google Security Operations exportieren
So nehmen Sie Sensitive Data Protection-Asset-Metadaten (DLP_CONTEXT
) auf:
- Aktivieren Sie die Google Cloud-Datenaufnahme, indem Sie den vorherigen Abschnitt in diesem Dokument ausführen.
- Konfigurieren Sie den Schutz sensibler Daten für das Profil von Daten.
- Konfigurieren Sie die Scankonfiguration so, dass Datenprofile in Google Security Operations veröffentlicht werden.
Ausführliche Informationen zum Erstellen von Datenprofilen für BigQuery-Daten finden Sie in der Dokumentation zum Schutz sensibler Daten.
Google Cloud-Datenaufnahme deaktivieren
Klicken Sie auf das Kästchen Ich möchte Google Security Operations trennen und keine Google Cloud-Logs an Google Security Operations senden.
Klicken Sie auf Verbindung zu Google Security Operations trennen.
Fehlerbehebung
- Wenn die Beziehungen zwischen Ressourcen und Identitäten in Ihrem Google Security Operations-System fehlen, stellen Sie die Ein/Aus-Schaltfläche Cloud-Logs in Google-Sicherheitsvorgänge exportieren auf deaktiviert und dann wieder auf aktiviert.
- Die Asset-Metadaten werden regelmäßig in Google Security Operations aufgenommen. Es kann einige Stunden dauern, bis die Änderungen in der Google Security Operations-Benutzeroberfläche und in den APIs sichtbar sind.
Nächste Schritte
- Öffnen Sie Ihr Google Security Operations-Konto mit der kundenspezifischen URL, die Sie von Ihrem Google Security Operations-Ansprechpartner erhalten haben.
- Weitere Informationen zu Google Security Operations