谷歌云平台
您可以配置谷歌云平台将日志数据发送到InsightIDR,这些数据可用于警报和调查目的。谷歌云平台的日志流到“云服务”和“入口认证”日志集中的“日志搜索”。
要设置此事件源:
- 检查在你开始之前部分要注意任何要求。
- 配置谷歌云平台转发日志。
- 在InsightIDR中配置该事件源。
- 验证配置。
隐私政策
RAPIT7的InsightIdr产品使用OAuth身份验证来检索从Google Pub / sub HTTP API的日志消息日志。配置Google云平台事件源时,InsightIdr在授权授权中需要的唯一权限是Pubsub。InsightIdr使用加密的Amazon Web服务S3存储桶来存储已保存的数据。InsightIdr使用日志来跟踪和警报潜在的恶意管理员活动,并在日志搜索中进行日志,以进行报告和合规。您与RAPIT7共享的任何数据都不在外部共享,只能用于内部目的,例如故障排除和新功能开发。您可以在此处阅读更多关于RAPID7的隐私政策的信息:https://www.rapid7.com/privacy-policy.。
在你开始之前
在继续之前,请验证您有以下内容:
- 具有管理员权限的Google帐户。这是完成配置和设置Log Sink和Pub/Sub服务所必需的。
- 安装在您的环境中的收集器。要阅读Google Cloud平台日志,收集器需要到达Google服务器从Pub / sub服务中拉出日志,并且必须能够连接到https://www.googleapis.com
Rapid7建议使用私有浏览窗口来设置此事件源
这有助于验证您的帐户是否具有正确的访问级别。如果您已登录到没有admin权限的帐户,则将显示OAuth弹出窗口,提示您使用该登录。如果您遇到OAuth弹出窗口,请退出非管理员帐户并登录具有管理权限的Google帐户。
配置谷歌云平台转发日志
谷歌云平台使用Pub/Sub发送消息(即日志),这是一种通过OAuth证书启用的消息服务。要通过发布/订阅将消息或消息属性发送到InsightIDR,您需要使用日志接收器导出数据,并为发布/订阅主题创建发布/订阅。要了解有关发布/订阅、主题和订阅的更多信息,请参见https://cloud.google.com/pubsub/docs/overview#data_model.。
设置PUB /子订阅
您必须设置PUB /子订阅,以允许数据源将日志发送到InsightIdr。
注意创建PUB /子订阅时以下重要信息:
- 请务必选择PUB /子主题作为目标。过滤器允许您定义将发送到目标的日志。
- 在设置订阅时记录项目ID和订阅ID,因为您需要在InsightIdr中输入此信息。
有关更多信息,请参见https://cloud.google.com/pubsub/docs/admin.。
设置一个日志汇
Rapid7建议您使用Log Sink导出从Google Cloud平台导出日志,这允许将日志过滤并路由到PUB /子主题。有关说明,请参阅https://cloud.google.com/logging/docs/export/configure_export_v2.。
当您为导出的日志准备时,您应该考虑要密切监视的数据类型,例如沿着防火墙的审核日志或活动。我们建议转发“嘈杂”数据,例如服务帐户或内部网络流量生成的日志。这些日志可能导致大量数据,这可能会影响您的存储速率。
(可选)使用我们预先构建的查询
在设置日志接收器时,您可以使用我们预先构建的log sink查询来过滤掉嘈杂的日志,从而获得对您最有价值的数据。
发送所有审计日志,除了Kubernetes生成的日志
logname:“cloudaudit.googleapis.com”不是protopayload.servicename:“k8s.io”
发送防火墙或威胁检测日志
如果在Google Cloud平台中启用了防火墙或威胁检测记录,则可以将数据转发给InsightIdr进行调查和警告目的。防火墙消息在InsightIdr中生成防火墙警报,威胁检测日志生成第三方警报。
要将防火墙或威胁检测日志发送到InsightIdr,请将以下内容添加到上一个查询:
或log_id(“compute.googleapis.com/firewall”)
或log_id(“threatdetection.googleapis.com/detection”)
在InsightIDR中配置该事件源
- 从仪表板中,选择左侧菜单上的数据集合。
- 出现“数据收集”页面时,单击“设置事件源”下拉列表,然后选择“添加事件源”。
- 从“安全数据”部分,单击“云服务”图标。出现“添加事件源”面板。
- 从下拉列表中选择收集器和Google云平台事件源。如果您愿意,您还可以命名您的活动源。
- 输入Google Cloud项目的ID和PUB / Sub订阅,其中日志已被路由。
- 可选择选择发送未过滤的日志。
- 单击“开始”按钮以启动OAuth授权过程。新窗口或选项卡将为您打开,以便使用Google执行授权补助金。
- 单击允许允许InsightIdr查看和管理PUB /子主题和订阅。关闭窗口/标签以返回InsightIdr。
- 如果使用多域环境,请配置默认域。我们将应用您配置的默认域,以为任何未提供日志中显示的帐户的域的任何日志。
- 单击“保存”。
验证配置
- 从左侧菜单中,单击日志搜索要查看原始日志以确保事件正在将其交给收集器。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“Google Platform Cloud”。Google平台云日志流入日志集:
- 云服务
- 入口身份验证
- 执行一个日志搜索确保事件顺利进行。
样本日志
以下日志反映了用户激活Google云平台服务。
杰森
1{2“插入”:“十二utqhgc2li”那3.“logname”:“项目/ testproject / logs / cloudaudit.googleapis.com%2factwient”那4.“手术”:{5.“第一的”:真的那6.“id”:“操作/ ACF.73B6492A-D2A6-4311-973D-C0DE964F0570”那7.“制片人”:“servicemanagement.googleapis.com”8.}那9.“protoPayload”:{10.“@类型”:“type.googleapis.com/google.cloud.Audit.Auditlog”那11.“AuthenticationInfo”:{12.“principalEmail”:“username.com”13.}那14.“authorizationInfo”:[15.{16.“的确”:真的那17.“允许”:“stempyusage.services.Enable”那18.“资源”:“ProjectNumbers / 123456789012 /服务/ - ”那19.“resourceAttributes”:{}20.}那21.{22.“允许”:“serviceconsumermanagement.consumers.enable”那23.“资源”:“服务/ compute.googleapis.com /消费者/ 123456789012”那24.“resourceAttributes”:{}25.}那26.{27.“的确”:真的那28.“允许”:“servicemanagement.services.bind”那29.“资源”:“服务/ compute.googleapis.com”那30.“resourceAttributes”:{}31}那32{33“的确”:真的那34“允许”:“stempyusage.services.Enable”那35“资源”:“ProjectNumbers / 123456789012 /服务/ - ”那36“resourceAttributes”:{}37}那38{39“允许”:“servicemanagement.services.bindall”那40“资源”:“服务/ compute.googleapis.com”那41“resourceAttributes”:{}42}那43{44“允许”:“serviceconsumermanagement.consumers.enable”那45“资源”:“服务/ compute.googleapis.com /消费者/ 123456789012”那46“resourceAttributes”:{}47}48]那49“方法名称”:“google.api.servicemanagement.v1.servicemanager.activateServices”那50“requestmetadata”:{51“callerip”:“100.10.200.20”那52“callerSuppliedUserAgent”:“Mozilla / 5.0(麦金塔电脑;英特尔Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36, gfe "那53“destancesttributes”:{}那54“CenficeAttributes”:{55“身份验证”:{}那56“时间”:“2020-09-03T14:56:50.773372z”57}58}那59“resourcename”:“项目/ 123456789012 /服务/ [compute.googleapis.com]”那60“名”:“servicemanagement.googleapis.com”61}那62“recentivetimestamp”:“2020-09-03T14:56:50.982038857z”那63“资源”:{64“标签”:{65“方法”:“google.api.servicemanagement.v1.servicemanager.activateServices”那66“project_id”:“testproject”那67“服务”:“servicemanagement.googleapis.com”68}那69“类型”:“audited_resource”70}那71“严重性”:“注意”那72“时间戳”:“2020 - 09 - 03 - t14:56:49.891207z”73}
额外的OAuth 2.0用例
谷歌api使用OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如web服务器、安装和客户端应用程序。欲了解更多信息,请阅读本文:https://developers.google.com/idepity/protocols/oauth2.。