Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

עבודה עם מרחבי שמות של נכסים

נתמך ב:

Google secops SIEM

כשמחפשים נכס ב-Google Security Operations, למשל באמצעות כתובת IP או שם מארח, אפשר לראות את כל הפעילות שמשויכת לנכס הזה. לפעמים יש כמה נכסים שמשויכים לאותה כתובת IP או לאותו שם מארח (לדוגמה, משימות חופפות של הקצאת כתובות IP מסוג RFC 1918 בפלחי רשת שונים).

התכונה 'מרחב שמות של נכסים' מאפשרת לסווג קטגוריות של נכסים שמשותפת להם סביבת רשת משותפת, או מרחב שמות, ואז לבצע חיפושים של הנכסים האלה בממשק המשתמש של Google SecOps על סמך מרחב השמות שלהם. לדוגמה, אפשר ליצור מרחבי שמות לרשתות בענן, לפילוח של רשתות ארגוניות לעומת רשתות ייצור, לרשתות של מיזוגים ורכישות וכן הלאה.

יצירה של מרחב שמות והקצאה שלו לנתונים

לכל הנכסים יש מרחב שמות שמוגדר באופן אוטומטי או באופן ידני. אם לא מצוין מרחב שמות ביומנים, מרחב שמות ברירת מחדל משויך לנכסים, והוא מסומן בתווית untagged בממשק המשתמש של Google SecOps. יומנים שנקלטים ב-Google SecOps לפני התמיכה במרחב שמות מתויגים באופן מרומז כחלק ממרחב השמות שמוגדר כברירת מחדל או כמרחב שמות לא מתויג.

אפשר להגדיר מרחבי שמות באמצעות האפשרויות הבאות:

גרסת Linux של Google SecOps Forwarder.
חלק מהמנתחים של הנורמליזציה (למשל, עבור Google Cloud) יכולים לאכלס אוטומטית את מרחב השמות (ב-Google Cloud, על סמך מזהים של פרויקטים ו-VPC).
‫Chronicle Ingestion API.
Google SecOps Feeds Management.

מרחבי שמות בממשק המשתמש של Google SecOps

מרחב השמות יופיע לצד הנכסים שלכם בממשק המשתמש של Google SecOps, במיוחד בכל פעם שמוצגת רשימה של נכסים, כולל:

חיפוש ב-UDM
סריקת יומן גולמי
תצוגות של זיהוי

סרגל חיפוש

כשמשתמשים בסרגל החיפוש, מוצגים מרחבי השמות שמשויכים לכל נכס. כשבוחרים נכס במרחב שמות ספציפי, הוא נפתח בתצוגת הנכסים ומוצגות הפעילויות האחרות שמשויכות לאותו מרחב שמות.

כל נכס שלא משויך למרחב שמות מוקצה למרחב השמות שמוגדר כברירת מחדל. עם זאת, מרחב השמות שמוגדר כברירת מחדל לא מוצג ברשימות.

תצוגת נכסים

בתצוגת הנכסים, מרחב השמות מצוין בשם הנכס בחלק העליון של הדף. אם לוחצים על החץ למטה כדי לפתוח את התפריט הנפתח, אפשר לבחור את מרחבי השמות האחרים שמשויכים לנכס.

תצוגת נכסים עם מרחבי שמות

תצוגות של כתובת IP, דומיין וגיבוב

בכל ממשק המשתמש של Google SecOps, מרחבי שמות מוצגים בכל מקום שבו יש הפניה לנכס (למעט מרחב השמות שמוגדר כברירת מחדל או מרחב השמות שלא תויג), כולל בתצוגות של כתובת ה-IP, הדומיין והגיבוב.

לדוגמה, בתצוגה של כתובת IP, מרחבי שמות נכללים גם בכרטיסיית הנכס וגם בתרשים השכיחות.

תוויות של העלאת נתונים

כדי לצמצם עוד יותר את החיפוש, אפשר להשתמש בתוויות של קליטת נתונים כדי להגדיר פידים נפרדים. רשימה מלאה של תוויות ההטמעה הנתמכות מופיעה במאמר מנתחי ברירת מחדל נתמכים.

דוגמאות: שלוש דרכים להוספת מרחב שמות ליומנים

בדוגמאות הבאות מוצגות שלוש דרכים שונות להוספת מרחב שמות ליומנים שמועברים לחשבון Google SecOps.

הקצאת מרחב שמות באמצעות Google SecOps Forwarder

אפשר להגדיר מרחב שמות על ידי הוספתו לקובץ ההגדרות של Google SecOps Forwarder כמרחב שמות ספציפי למעביר או כמרחב שמות ספציפי לאוסף. הדוגמה הבאה להגדרת מעביר ממחישה את שני הסוגים:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

כפי שמוצג בדוגמה הזו, היומנים שמקורם ב-WINEVTLOG כוללים את תג מרחב השמות FORWARDER. היומנים שמגיעים מ-NIX_SYSTEM כוללים את תג מרחב השמות CORPORATE.

הפעולה הזו מגדירה מרחב שמות כולל לאוסף היומנים. אם בסביבה שלכם יש שילוב של יומנים ששייכים למרחבי שמות מרובים, ואין לכם אפשרות לפלח את המכונות האלה (או שזה נעשה בכוונה), Google ממליצה ליצור כמה אוספים לאותו מקור יומנים שמסננים את היומנים למרחב השמות המתאים באמצעות ביטויים רגולריים.

הקצאת מרחב שמות באמצעות Ingestion API

אפשר גם להגדיר מרחב שמות כששולחים את היומנים דרך נקודת הקצה unstructuredlogentries בתוך Chronicle ingestion API, כמו בדוגמה הבאה:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

בדוגמה הזו, מרחב השמות הוא פרמטר גוף של קריאת ה-POST של ה-API. יומנים מ-BIND\_DNS מעבירים את נתוני היומן שלהם עם תג מרחב השמות FORWARDER.

הקצאת מרחב שמות באמצעות Google SecOps Feeds Management

כמו שכתוב במדריך למשתמש לניהול פידים, התכונה 'ניהול פידים' ב-Google SecOps מאפשרת לכם להגדיר ולנהל זרמי יומנים שונים בדייר Google SecOps שלכם.

בדוגמה הבאה, יומני Office 365 ייקלטו עם תג מרחב השמות FORWARDER:

איור 1: הגדרת ניהול פידים עם תג מרחב השמות FORWARDER

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.