谷歌云平台
您可以配置谷歌云平台将日志数据发送到InsightIDR,这些数据可用于警报和调查目的。谷歌云平台的日志流到“云服务”和“入口认证”日志集中的“日志搜索”。
要设置此事件源,请执行以下操作:
- 检查在你开始之前章节以说明任何要求。
- 配置谷歌云平台转发日志.
- 在InsightIDR中配置该事件源.
- 验证配置.
隐私政策
Rapid7的InsightIDR产品使用OAuth认证从谷歌Pub/Sub HTTP API检索日志消息日志。配置谷歌云平台事件源时,InsightIDR在授权时只需要具有pubsub权限。InsightIDR使用加密的Amazon Web Service S3 Buckets存储数据。InsightIDR使用您的日志来跟踪和警告潜在的恶意管理活动,并在日志搜索中提供日志以进行报告和遵从性。您与Rapid7共享的任何数据不会在外部共享,只会用于内部目的,如故障排除和新功能开发。你可以在这里阅读更多关于Rapid7的隐私政策:https://www.rapid7.com/privacy-policy.
在你开始之前
继续之前,请验证您是否具备以下条件:
- 具有管理员权限的Google帐户。这是完成配置和设置Log Sink和Pub/Sub服务所必需的。
- 安装在您的环境中的收集器。为了读取Google云平台日志,收集器需要到达Google服务器以从发布/订阅服务中提取日志,并且必须能够连接到https://www.googleapis.com
Rapid7建议使用私人浏览窗口来设置此事件源
这有助于验证您的帐户具有适当的访问级别。如果您登录到一个没有Admin权限的帐户,OAuth弹出窗口将显示,提示您使用该登录代替。如果遇到OAuth弹出框,退出非管理员帐户,登录到具有管理员权限的谷歌帐户。
配置谷歌云平台转发日志
谷歌云平台使用Pub/Sub发送消息(即日志),这是一种通过OAuth证书启用的消息服务。要通过发布/订阅将消息或消息属性发送到InsightIDR,您需要使用日志接收器导出数据,并为发布/订阅主题创建发布/订阅。要了解有关发布/订阅、主题和订阅的更多信息,请参见https://cloud.google.com/pubsub/docs/overview#data_model.
设置发布/订阅订阅
您必须设置发布/订阅,以允许数据源向InsightIDR发送日志。
创建发布/订阅订阅时,请注意以下重要信息:
- 确保选择一个发布/子主题作为目标。过滤器允许您定义将要发送到目标的日志。
- 设置订阅时请记下项目ID和订阅ID,因为您稍后需要在InsightIDR中输入此信息。
有关更多信息,请参见https://cloud.google.com/pubsub/docs/admin.
设置一个日志接收器
Rapid7建议您使用日志接收器从Google云平台导出日志,这样可以过滤日志并将其路由到发布/子主题。有关说明,请参阅https://cloud.google.com/logging/docs/export/configure_export_v2.
在准备导出日志时,应考虑要密切监视的数据类型,如审核日志或防火墙上的活动。我们建议不要转发“嘈杂”的数据,例如由服务帐户或内部网络流量生成的日志。这些日志可能导致大量数据,这可能会影响您的存储速率。
(可选)使用我们的预构建查询
在设置日志接收器时,您可以使用我们预先构建的log sink查询来过滤掉嘈杂的日志,从而获得对您最有价值的数据。
发送除Kubernetes产生的审计日志外的所有审计日志
logName:“cloudaudit.googleapis.com”不是protoPayload.serviceName:“k8s.io”
发送防火墙或威胁检测日志
如果您在谷歌云平台中启用了防火墙或威胁检测日志记录,您可以将该数据转发给InsightIDR,以进行调查和警报。防火墙消息在InsightIDR中生成防火墙警报,威胁检测日志生成第三方警报。
要将防火墙或威胁检测日志发送到InsightIDR,请将以下内容添加到上一个查询中:
或log_id(“compute.googleapis.com/firewall”)
或log_id(“threatdetection.googleapis.com/detection”)
在InsightIDR中配置该事件源
- 从仪表板中,选择左侧菜单上的数据采集。
- 当数据采集页面出现时,单击设置事件源下拉列表并选择添加事件源。
- 在“安全数据”部分,单击云服务图标。此时会出现“添加事件源”面板。
- 从下拉列表中选择收集器和Google云平台事件源。如果需要,还可以命名事件源。
- 输入发送日志的Google云项目和发布/订阅的ID。
- (可选)选择发送未筛选的日志。
- 单击“开始”按钮开始OAUTH授权过程。将打开一个新窗口或选项卡,供您使用Google执行授权授予。
- 单击“允许”,允许InsightIDR查看和管理发布/订阅主题和订阅。关闭窗口/选项卡以返回InsightIDR。
- 如果您使用的是多域环境,请配置默认域。我们将把您配置的默认域应用于任何日志,这些日志不为日志中出现的帐户提供域。
- 单击Save。
验证配置
- 从左侧菜单中,单击日志搜索查看原始日志以确保事件发送到收集器。选择适用的日志集以及其中的日志名。日志名称将是事件源名称,如果未命名事件源,则为“Google Platform Cloud”。Google平台云日志流入日志集:
- 云服务
- 入口认证
- 执行一个日志搜索确保事件顺利进行。
采样日志
以下日志反映了用户激活Google云平台服务的情况。
json
1.
{
2.
“插入”:“十二utqhgc2li”,
3.
“日志名”:“projects/testproject/logs/cloudaudit.googleapis.com%2Factivity”,
4.
“操作”:{
5.
“第一”:符合事实的,
6.
“id”:“操作/acf.73b6492a-d2a6-4311-973d-c0de964f0570”,
7.
“生产者”:“servicemanagement.googleapis.com”
8.
},
9
“protoPayload”:{
10
“@type”:“键入.googleapis.com/google.cloud.audit.AuditLog”,
11
“authenticationInfo”:{
12
“principalEmail”:“username.com”
13
},
14
“authorizationInfo”:[
15
{
16
“同意”:符合事实的,
17
“许可”:“serviceusage.services.enable”,
18
“资源”:“项目编号/123456789012/服务/-”,
19
“resourceAttributes”:{}
20
},
21
{
22
“许可”:“serviceconsumermanagement.consumers.enable”,
23
“资源”:“services/compute.googleapis.com/consumers/123456789012”,
24
“resourceAttributes”:{}
25
},
26
{
27
“同意”:符合事实的,
28
“许可”:“servicemanagement.services.bind”,
29
“资源”:“服务/ compute.googleapis.com”,
30.
“resourceAttributes”:{}
31
},
32
{
33
“同意”:符合事实的,
34
“许可”:“serviceusage.services.enable”,
35
“资源”:“项目编号/123456789012/服务/-”,
36
“resourceAttributes”:{}
37
},
38
{
39
“许可”:“servicemanagement.services.bindAll”,
40
“资源”:“服务/ compute.googleapis.com”,
41
“resourceAttributes”:{}
42
},
43
{
44
“许可”:“serviceconsumermanagement.consumers.enable”,
45
“资源”:“services/compute.googleapis.com/consumers/123456789012”,
46
“resourceAttributes”:{}
47
}
48
],
49
“方法名”:“google.api.servicemanagement.v1.ServiceManager.ActivateServices”,
50
“requestMetadata”:{
51
“callerIp”:“100.10.200.20”,
52
“callerSuppliedUserAgent”:“Mozilla / 5.0(麦金塔电脑;英特尔Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36, gfe ",
53
“destinationAttributes”:{},
54
“请求属性”:{
55
“身份验证”:{},
56
“时间”:“2020-09-03T14:56:50.773372Z”
57
}
58
},
59
“资源名称”:“projects/123456789012/services/[compute.googleapis.com]”,
60
“名”:“servicemanagement.googleapis.com”
61
},
62
“接收时间戳”:“2020-09-03T14:56:50.982038857Z”,
63
“资源”:{
64
“标签”:{
65
“方法”:“google.api.servicemanagement.v1.ServiceManager.ActivateServices”,
66
“project_id”:“testproject”,
67
“服务”:“servicemanagement.googleapis.com”
68
},
69
“类型”:“已审核的资源”
70
},
71
“严重程度”:“通知”,
72
“时间戳”:“2020 - 09 - 03 - t14:56:49.891207z”
73
}
额外的OAuth 2.0用例
谷歌api使用OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如web服务器、安装和客户端应用程序。欲了解更多信息,请阅读本文:https://developers.google.com/identity/protocols/OAuth2.