Google Security Command Center -如何记录异常检测事件？

Question

伙计们，你们能澄清一下Google Security Command Center中异常检测事件的日志设置问题吗？

我正在使用Google Security Command Center。我已经为我的所有项目配置了事件威胁检测日志记录，激活了所有规则，并且我可以在Stackdriver日志记录中看到威胁检测事件(资源威胁检测器的类型)。但是，我如何为异常检测事件配置相同的功能？没有关于日志记录设置的文档，只有功能的描述。我可以假设异常检测事件也将发送到Stackdriver中，我的意思是威胁检测事件和异常检测事件的设置是相同的，但我不确定。关于Container Threat Detection事件的日志记录设置的问题也是悬而未决的，也没有关于日志记录设置的文档...

https://cloud.google.com/security-command-center/docs/concepts-security-sources#anomaly_detection

Answer 1

根据文档，您可以配置事件威胁检测和容器威胁检测的日志记录(built-in services是安全命令中心的一部分)。看看这篇文章Configuring Security Command Center

配置安全命令中心，包括添加安全源、管理哪些源适用于哪些资源以及设置事件威胁检测和容器威胁检测的日志记录。

在Sinks部分：

在Sink选项卡上，您可以设置事件威胁检测和容器威胁检测结果的日志记录。调查结果将导出到您选择的Cloud Logging项目。

要记录调查结果，请执行以下操作：

Click box >单击日志查找结果旁边的切换框以将日志记录到Stackdriver.

• In
• 框中，选择要写入日志的项目。

此外，在documentation Using Container Threat Detection部分的Reviewing findings中，您可以看到：

当容器威胁检测生成调查结果时，您可以在安全命令中心或云日志中查看它们，如果您有configured Security Command Center sinks写入到Google Cloud的操作套件中。

Event Threat Detection也是如此。

另一方面，Anomaly Detection是与安全命令中心集成的谷歌云security sources之一，并且没有可用的日志记录选项。

要解决此问题，您可以在Google Issue Tracker上提交feature request，并请求异常检测事件的日志记录选项。

Answer 2

现有的关于异常检测的文档相当糟糕。只有功能的一般描述，但缺少异常检测和日志记录的设置步骤。

有一个教育视频https://www.youtube.com/watch?v=n70BdI7apXI和

谷歌博客上的一篇文章

https://cloud.google.com/blog/products/identity-security/3-steps-to-detect-and-remediate-security-anomalies-with-cloud-anomaly-detection，这可能是一个“入门”指南。

关于Google问题跟踪器的文档中的空白，有一个新注册的问题。你可以密切关注它：https://issuetracker.google.com/issues/162820202