谷歌云平台

您可以配置谷歌云平台将日志数据发送到InsightIDR,这些数据可用于警报和调查目的。谷歌云平台的日志流到“云服务”和“入口认证”日志集中的“日志搜索”。

要设置此事件源:

  1. 检查在你开始之前部分要注意任何要求。
  2. 配置谷歌云平台转发日志
  3. 在InsightIDR中配置该事件源
  4. 验证配置

隐私政策

RAPIT7的InsightIdr产品使用OAuth身份验证来检索从Google Pub / sub HTTP API的日志消息日志。配置Google云平台事件源时,InsightIdr在授权授权中需要的唯一权限是Pubsub。InsightIdr使用加密的Amazon Web服务S3存储桶来存储已保存的数据。InsightIdr使用日志来跟踪和警报潜在的恶意管理员活动,并在日志搜索中进行日志,以进行报告和合规。您与RAPIT7共享的任何数据都不在外部共享,只能用于内部目的,例如故障排除和新功能开发。您可以在此处阅读更多关于RAPID7的隐私政策的信息:https://www.rapid7.com/privacy-policy.

在你开始之前

在继续之前,请验证您有以下内容:

  • 具有管理员权限的Google帐户。这是完成配置和设置Log Sink和Pub/Sub服务所必需的。
  • 安装在您的环境中的收集器。要阅读Google Cloud平台日志,收集器需要到达Google服务器从Pub / sub服务中拉出日志,并且必须能够连接到https://www.googleapis.com

Rapid7建议使用私有浏览窗口来设置此事件源

这有助于验证您的帐户是否具有正确的访问级别。如果您已登录到没有admin权限的帐户,则将显示OAuth弹出窗口,提示您使用该登录。如果您遇到OAuth弹出窗口,请退出非管理员帐户并登录具有管理权限的Google帐户。

配置谷歌云平台转发日志

谷歌云平台使用Pub/Sub发送消息(即日志),这是一种通过OAuth证书启用的消息服务。要通过发布/订阅将消息或消息属性发送到InsightIDR,您需要使用日志接收器导出数据,并为发布/订阅主题创建发布/订阅。要了解有关发布/订阅、主题和订阅的更多信息,请参见https://cloud.google.com/pubsub/docs/overview#data_model.

设置PUB /子订阅

您必须设置PUB /子订阅,以允许数据源将日志发送到InsightIdr。

注意创建PUB /子订阅时以下重要信息:

  • 请务必选择PUB /子主题作为目标。过滤器允许您定义将发送到目标的日志。
  • 在设置订阅时记录项目ID和订阅ID,因为您需要在InsightIdr中输入此信息。

有关更多信息,请参见https://cloud.google.com/pubsub/docs/admin.

设置一个日志汇

Rapid7建议您使用Log Sink导出从Google Cloud平台导出日志,这允许将日志过滤并路由到PUB /子主题。有关说明,请参阅https://cloud.google.com/logging/docs/export/configure_export_v2.

当您为导出的日志准备时,您应该考虑要密切监视的数据类型,例如沿着防火墙的审核日志或活动。我们建议转发“嘈杂”数据,例如服务帐户或内部网络流量生成的日志。这些日志可能导致大量数据,这可能会影响您的存储速率。

(可选)使用我们预先构建的查询

在设置日志接收器时,您可以使用我们预先构建的log sink查询来过滤掉嘈杂的日志,从而获得对您最有价值的数据。

发送所有审计日志,除了Kubernetes生成的日志

logname:“cloudaudit.googleapis.com”不是protopayload.servicename:“k8s.io”

发送防火墙或威胁检测日志

如果在Google Cloud平台中启用了防火墙或威胁检测记录,则可以将数据转发给InsightIdr进行调查和警告目的。防火墙消息在InsightIdr中生成防火墙警报,威胁检测日志生成第三方警报。

要将防火墙或威胁检测日志发送到InsightIdr,请将以下内容添加到上一个查询:

或log_id(“compute.googleapis.com/firewall”)

或log_id(“threatdetection.googleapis.com/detection”)

在InsightIDR中配置该事件源

  1. 从仪表板中,选择左侧菜单上的数据集合。
  2. 出现“数据收集”页面时,单击“设置事件源”下拉列表,然后选择“添加事件源”。
  3. 从“安全数据”部分,单击“云服务”图标。出现“添加事件源”面板。
  4. 从下拉列表中选择收集器和Google云平台事件源。如果您愿意,您还可以命名您的活动源。
  5. 输入Google Cloud项目的ID和PUB / Sub订阅,其中日志已被路由。
  6. 可选择选择发送未过滤的日志。
  7. 单击“开始”按钮以启动OAuth授权过程。新窗口或选项卡将为您打开,以便使用Google执行授权补助金。
  8. 单击允许允许InsightIdr查看和管理PUB /子主题和订阅。关闭窗口/标签以返回InsightIdr。
  9. 如果使用多域环境,请配置默认域。我们将应用您配置的默认域,以为任何未提供日志中显示的帐户的域的任何日志。
  10. 单击“保存”。

验证配置

  1. 从左侧菜单中,单击日志搜索要查看原始日志以确保事件正在将其交给收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“Google Platform Cloud”。Google平台云日志流入日志集:
  • 云服务
  • 入口身份验证
  1. 执行一个日志搜索确保事件顺利进行。

样本日志

以下日志反映了用户激活Google云平台服务。

         
杰森
1
{
2
“插入”“十二utqhgc2li”
3.
“logname”“项目/ testproject / logs / cloudaudit.googleapis.com%2factwient”
4.
“手术”{
5.
“第一的”真的
6.
“id”“操作/ ACF.73B6492A-D2A6-4311-973D-C0DE964F0570”
7.
“制片人”“servicemanagement.googleapis.com”
8.
}
9.
“protoPayload”{
10.
“@类型”“type.googleapis.com/google.cloud.Audit.Auditlog”
11.
“AuthenticationInfo”{
12.
“principalEmail”“username.com”
13.
}
14.
“authorizationInfo”[
15.
{
16.
“的确”真的
17.
“允许”“stempyusage.services.Enable”
18.
“资源”“ProjectNumbers / 123456789012 /服务/ - ”
19.
“resourceAttributes”{}
20.
}
21.
{
22.
“允许”“serviceconsumermanagement.consumers.enable”
23.
“资源”“服务/ compute.googleapis.com /消费者/ 123456789012”
24.
“resourceAttributes”{}
25.
}
26.
{
27.
“的确”真的
28.
“允许”“servicemanagement.services.bind”
29.
“资源”“服务/ compute.googleapis.com”
30.
“resourceAttributes”{}
31
}
32
{
33
“的确”真的
34
“允许”“stempyusage.services.Enable”
35
“资源”“ProjectNumbers / 123456789012 /服务/ - ”
36
“resourceAttributes”{}
37
}
38
{
39
“允许”“servicemanagement.services.bindall”
40
“资源”“服务/ compute.googleapis.com”
41
“resourceAttributes”{}
42
}
43
{
44
“允许”“serviceconsumermanagement.consumers.enable”
45
“资源”“服务/ compute.googleapis.com /消费者/ 123456789012”
46
“resourceAttributes”{}
47
}
48
]
49
“方法名称”“google.api.servicemanagement.v1.servicemanager.activateServices”
50
“requestmetadata”{
51
“callerip”“100.10.200.20”
52
“callerSuppliedUserAgent”“Mozilla / 5.0(麦金塔电脑;英特尔Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36, gfe "
53
“destancesttributes”{}
54
“CenficeAttributes”{
55
“身份验证”{}
56
“时间”“2020-09-03T14:56:50.773372z”
57
}
58
}
59
“resourcename”“项目/ 123456789012 /服务/ [compute.googleapis.com]”
60
“名”“servicemanagement.googleapis.com”
61
}
62
“recentivetimestamp”“2020-09-03T14:56:50.982038857z”
63
“资源”{
64
“标签”{
65
“方法”“google.api.servicemanagement.v1.servicemanager.activateServices”
66
“project_id”“testproject”
67
“服务”“servicemanagement.googleapis.com”
68
}
69
“类型”“audited_resource”
70
}
71
“严重性”“注意”
72
“时间戳”“2020 - 09 - 03 - t14:56:49.891207z”
73
}

额外的OAuth 2.0用例

谷歌api使用OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如web服务器、安装和客户端应用程序。欲了解更多信息,请阅读本文:https://developers.google.com/idepity/protocols/oauth2.