谷歌云平台
您可以配置谷歌云平台将日志数据发送到InsightIDR,这些数据可用于警报和调查目的。谷歌云平台的日志流到“云服务”和“入口认证”日志集中的“日志搜索”。
要设置此事件源:
- 检查在你开始之前部分要注意任何要求。
- 配置谷歌云平台转发日志。
- 在InsightIDR中配置该事件源。
- 验证配置。
隐私政策
RAPIT7的InsightIdr产品使用OAuth身份验证来检索从Google Pub / sub HTTP API的日志消息日志。配置Google云平台事件源时,InsightIdr在授权授权中需要的唯一权限是Pubsub。InsightIdr使用加密的Amazon Web服务S3存储桶来存储已保存的数据。InsightIdr使用日志来跟踪和警报潜在的恶意管理员活动,并在日志搜索中进行日志,以进行报告和合规。您与RAPIT7共享的任何数据都不在外部共享,只能用于内部目的,例如故障排除和新功能开发。您可以在此处阅读更多关于RAPID7的隐私政策的信息:https://www.rapid7.com/privacy-policy.。
在你开始之前
在继续之前,请验证您有以下内容:
- 具有管理员权限的Google帐户。这是完成配置和设置Log Sink和Pub/Sub服务所必需的。
- 安装在您的环境中的收集器。要阅读Google Cloud平台日志,收集器需要到达Google服务器从Pub / sub服务中拉出日志,并且必须能够连接到https://www.googleapis.com
Rapid7建议使用私有浏览窗口来设置此事件源
这有助于验证您的帐户是否具有正确的访问级别。如果您已登录到没有admin权限的帐户,则将显示OAuth弹出窗口,提示您使用该登录。如果您遇到OAuth弹出窗口,请退出非管理员帐户并登录具有管理权限的Google帐户。
配置谷歌云平台转发日志
谷歌云平台使用Pub/Sub发送消息(即日志),这是一种通过OAuth证书启用的消息服务。要通过发布/订阅将消息或消息属性发送到InsightIDR,您需要使用日志接收器导出数据,并为发布/订阅主题创建发布/订阅。要了解有关发布/订阅、主题和订阅的更多信息,请参见https://cloud.google.com/pubsub/docs/overview#data_model.。
设置PUB /子订阅
您必须设置PUB /子订阅,以允许数据源将日志发送到InsightIdr。
注意创建PUB /子订阅时以下重要信息:
- 请务必选择PUB /子主题作为目标。过滤器允许您定义将发送到目标的日志。
- 在设置订阅时记录项目ID和订阅ID,因为您需要在InsightIdr中输入此信息。
有关更多信息,请参见https://cloud.google.com/pubsub/docs/admin.。
设置一个日志汇
Rapid7建议您使用Log Sink导出从Google Cloud平台导出日志,这允许将日志过滤并路由到PUB /子主题。有关说明,请参阅https://cloud.google.com/logging/docs/export/configure_export_v2.。
当您为导出的日志准备时,您应该考虑要密切监视的数据类型,例如沿着防火墙的审核日志或活动。我们建议转发“嘈杂”数据,例如服务帐户或内部网络流量生成的日志。这些日志可能导致大量数据,这可能会影响您的存储速率。
(可选)使用我们预先构建的查询
在设置日志接收器时,您可以使用我们预先构建的log sink查询来过滤掉嘈杂的日志,从而获得对您最有价值的数据。
发送所有审计日志,除了Kubernetes生成的日志
logname:“cloudaudit.googleapis.com”不是protopayload.servicename:“k8s.io”
发送防火墙或威胁检测日志
如果在Google Cloud平台中启用了防火墙或威胁检测记录,则可以将数据转发给InsightIdr进行调查和警告目的。防火墙消息在InsightIdr中生成防火墙警报,威胁检测日志生成第三方警报。
要将防火墙或威胁检测日志发送到InsightIdr,请将以下内容添加到上一个查询:
或log_id(“compute.googleapis.com/firewall”)
或log_id(“threatdetection.googleapis.com/detection”)
在InsightIDR中配置该事件源
- 从仪表板中,选择左侧菜单上的数据集合。
- 出现“数据收集”页面时,单击“设置事件源”下拉列表,然后选择“添加事件源”。
- 从“安全数据”部分,单击“云服务”图标。出现“添加事件源”面板。
- 从下拉列表中选择收集器和Google云平台事件源。如果您愿意,您还可以命名您的活动源。
- 输入Google Cloud项目的ID和PUB / Sub订阅,其中日志已被路由。
- 可选择选择发送未过滤的日志。
- 单击“开始”按钮以启动OAuth授权过程。新窗口或选项卡将为您打开,以便使用Google执行授权补助金。
- 单击允许允许InsightIdr查看和管理PUB /子主题和订阅。关闭窗口/标签以返回InsightIdr。
- 如果使用多域环境,请配置默认域。我们将应用您配置的默认域,以为任何未提供日志中显示的帐户的域的任何日志。
- 单击“保存”。
验证配置
- 从左侧菜单中,单击日志搜索要查看原始日志以确保事件正在将其交给收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“Google Platform Cloud”。Google平台云日志流入日志集:
- 云服务
- 入口身份验证
- 执行一个日志搜索确保事件顺利进行。
样本日志
以下日志反映了用户激活Google云平台服务。
杰森
1
{
2
“插入”:“十二utqhgc2li”那
3.
“logname”:“项目/ testproject / logs / cloudaudit.googleapis.com%2factwient”那
4.
“手术”:{
5.
“第一的”:真的那
6.
“id”:“操作/ ACF.73B6492A-D2A6-4311-973D-C0DE964F0570”那
7.
“制片人”:“servicemanagement.googleapis.com”
8.
}那
9.
“protoPayload”:{
10.
“@类型”:“type.googleapis.com/google.cloud.Audit.Auditlog”那
11.
“AuthenticationInfo”:{
12.
“principalEmail”:“username.com”
13.
}那
14.
“authorizationInfo”:[
15.
{
16.
“的确”:真的那
17.
“允许”:“stempyusage.services.Enable”那
18.
“资源”:“ProjectNumbers / 123456789012 /服务/ - ”那
19.
“resourceAttributes”:{}
20.
}那
21.
{
22.
“允许”:“serviceconsumermanagement.consumers.enable”那
23.
“资源”:“服务/ compute.googleapis.com /消费者/ 123456789012”那
24.
“resourceAttributes”:{}
25.
}那
26.
{
27.
“的确”:真的那
28.
“允许”:“servicemanagement.services.bind”那
29.
“资源”:“服务/ compute.googleapis.com”那
30.
“resourceAttributes”:{}
31
}那
32
{
33
“的确”:真的那
34
“允许”:“stempyusage.services.Enable”那
35
“资源”:“ProjectNumbers / 123456789012 /服务/ - ”那
36
“resourceAttributes”:{}
37
}那
38
{
39
“允许”:“servicemanagement.services.bindall”那
40
“资源”:“服务/ compute.googleapis.com”那
41
“resourceAttributes”:{}
42
}那
43
{
44
“允许”:“serviceconsumermanagement.consumers.enable”那
45
“资源”:“服务/ compute.googleapis.com /消费者/ 123456789012”那
46
“resourceAttributes”:{}
47
}
48
]那
49
“方法名称”:“google.api.servicemanagement.v1.servicemanager.activateServices”那
50
“requestmetadata”:{
51
“callerip”:“100.10.200.20”那
52
“callerSuppliedUserAgent”:“Mozilla / 5.0(麦金塔电脑;英特尔Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36, gfe "那
53
“destancesttributes”:{}那
54
“CenficeAttributes”:{
55
“身份验证”:{}那
56
“时间”:“2020-09-03T14:56:50.773372z”
57
}
58
}那
59
“resourcename”:“项目/ 123456789012 /服务/ [compute.googleapis.com]”那
60
“名”:“servicemanagement.googleapis.com”
61
}那
62
“recentivetimestamp”:“2020-09-03T14:56:50.982038857z”那
63
“资源”:{
64
“标签”:{
65
“方法”:“google.api.servicemanagement.v1.servicemanager.activateServices”那
66
“project_id”:“testproject”那
67
“服务”:“servicemanagement.googleapis.com”
68
}那
69
“类型”:“audited_resource”
70
}那
71
“严重性”:“注意”那
72
“时间戳”:“2020 - 09 - 03 - t14:56:49.891207z”
73
}
额外的OAuth 2.0用例
谷歌api使用OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如web服务器、安装和客户端应用程序。欲了解更多信息,请阅读本文:https://developers.google.com/idepity/protocols/oauth2.。