Crea y administra feeds con la IU de administración de feeds

En esta página, se proporciona información para crear, administrar y solucionar problemas de los feeds con la IU de administración de feeds. La administración de los feeds incluye la modificación, la habilitación y la eliminación de los feeds.

Antes de comenzar

Cada feed de datos tiene su propio conjunto de requisitos previos que se deben completar antes de configurar el feed en Google Security Operations. Para obtener información sobre los requisitos previos específicos de un tipo de feed, consulta Configuración por tipo de fuente. Busca el tipo de feed de datos que necesitas configurar y sigue las instrucciones proporcionadas.

Formatos de compresión admitidos

Los formatos de compresión admitidos para la transferencia de feeds incluyen .gz, .tar.gz, .tar, .targz y solr.gz.

Cómo agregar un feed

Para agregar un feed a tu cuenta de Operaciones de seguridad de Google, completa los siguientes pasos.

1. En el menú Operaciones de seguridad de Google, selecciona Configuración y, luego, haz clic en Feeds. Los feeds de datos que se muestran en esta página incluyen todos los feeds que Google configuró para tu cuenta, además de los que tú configuraste.

2. Haz clic en Agregar nueva. Aparecerá la ventana Agregar feed.

3. Agrega un nombre para el feed.

1. En la lista Tipo de fuente, selecciona el tipo de fuente a través del cual deseas transferir datos a Google Security Operations. Puedes elegir entre los siguientes tipos de fuentes de feeds:

   • Amazon Data Firehose
   • Amazon S3
   • Amazon SQS
   • Google Cloud Pub/Sub
   • Google Cloud Storage
   • Archivos HTTP(S) (no de API)
   • Microsoft Azure Blob Storage
   • API de terceros
   • Webhook

2. En la lista Tipo de registro, selecciona el tipo de registro que corresponde a los registros que deseas transferir. Los registros disponibles varían según el tipo de fuente que hayas seleccionado anteriormente. Haz clic en Siguiente.

   Si seleccionas Google Cloud Storage como el tipo de fuente, usa la opción Obtener cuenta de servicio para obtener una cuenta de servicio única. En este documento, consulta el ejemplo de configuración de feeds de Google Cloud Storage.

3. Especifica los parámetros necesarios en la pestaña Parámetros de entrada. Las opciones que se presentan aquí varían según la fuente y el tipo de registro que se seleccione en la pestaña Set Properties. Mantén el cursor sobre el ícono de interrogación de cada campo para obtener información adicional sobre lo que debes proporcionar.

4. De manera opcional, puedes especificar un espacio de nombres aquí. Para obtener más información sobre los espacios de nombres, consulta la documentación sobre el espacio de nombres de los activos.

5. Haz clic en Siguiente.

6. Revisa la configuración de tu nuevo feed en la pestaña Finalizar. Cuando esté todo listo, haz clic en Enviar. Google Security Operations completa una verificación de validación del feed nuevo. Si el feed pasa la verificación, se genera un nombre para él, se envía a Google Security Operations y esta plataforma comienza a intentar recuperar datos.

   

Borrar archivos fuente

En varios tipos de feeds, incluido Cloud Storage, hay un campo en el flujo de trabajo Agregar nuevo o Editar feed etiquetado como OPCIÓN DE ELIMINACIÓN DE FUENTE. Este menú tiene tres opciones:

1. No borrar archivos nunca
2. Cómo borrar archivos transferidos y directorios vacíos
3. Cómo borrar archivos transferidos

Las opciones 2 y 3 implican eliminaciones: una para los archivos y otra para los archivos y los directorios vacíos. Si seleccionas cualquiera de esas opciones, deberás agregar los permisos específicos de tu tipo de feed. Para obtener información sobre los permisos específicos de un tipo de feed, consulta Configuración por tipo de fuente.

Esta opción te permite borrar un objeto del sistema de almacenamiento después de transferirlo. Los feeds siempre recuerdan qué objetos (o archivos) transfirieron y nunca transfieren el mismo archivo dos veces (a menos que se haya actualizado), pero debes configurar esta opción si quieres que el sistema borre el objeto de origen después de que se transfiera (correctamente).

Microsoft Azure Blob Storage no admite la eliminación de archivos de origen. No se deben usar las siguientes opciones de eliminación de fuentes con el tipo de fuente de Microsoft Azure Blob Storage:

• Borra archivos transferidos y directorios vacíos
• Cómo borrar archivos transferidos

Cuando crees un feed con la fuente de Microsoft Azure Blob Storage, selecciona solo la opción Nunca borrar archivos.

Configura un feed de Pub/Sub push

Para configurar un feed push de Pub/Sub, haz lo siguiente:

1. Crea un feed de envío de Pub/Sub.
2. Especifica la URL del extremo en una suscripción a Pub/Sub.

Crea un feed push de Pub/Sub

1. En el menú Operaciones de seguridad de Google, selecciona Configuración y, luego, haz clic en Feeds.
2. Haz clic en Agregar nueva.
3. En el campo Nombre del feed, ingresa un nombre para el feed.
4. En la lista Tipo de fuente, selecciona Push de Google Cloud Pub/Sub.
5. Selecciona el tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el tipo de registro.
6. Haz clic en Siguiente.
7. Opcional: Especifica valores para los siguientes parámetros de entrada:
   • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
   • Espacio de nombres del activo: Es el espacio de nombres del activo.
   • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
10. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Necesitas esta URL de extremo para crear una suscripción de envío en Pub/Sub.
11. Para inhabilitar el feed, haz clic en el botón de activación Feed Enabled. El feed está habilitado de forma predeterminada.
12. Haz clic en Listo.

Especifica la URL del extremo

Después de crear un feed de Pub/Sub push, en Pub/Sub, crea una suscripción push, especifica el extremo HTTPS y habilita la autenticación.

1. Crea una suscripción de envío en Pub/Sub. Para obtener más información sobre cómo crear una suscripción de envío, consulta Crea suscripciones de envío.
2. Especifica la URL del extremo, que está disponible en el feed push de Google Cloud Pub/Sub.
3. Selecciona Habilitar autenticación y elige una cuenta de servicio.

Configura un feed de Amazon Data Firehose

Para configurar un feed de Amazon Data Firehose, haz lo siguiente:

1. Crea un feed de Amazon Data Firehose y copia la URL del extremo y la clave secreta.
2. Crea una clave de API para autenticarte en Google Security Operations. También puedes volver a usar tu clave de API existente para autenticarte en Google Security Operations.
3. Especifica la URL del extremo en Amazon Data Firehose.

Crea un feed de Amazon Data Firehose

1. En el menú Operaciones de seguridad de Google, selecciona Configuración y, luego, haz clic en Feeds.
2. Haz clic en Agregar nueva.
3. En el campo Nombre del feed, ingresa un nombre para el feed.
4. En la lista Tipo de fuente, selecciona Amazon Data Firehose.
5. Selecciona el tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el tipo de registro.
6. Haz clic en Siguiente.
7. Opcional: Especifica valores para los siguientes parámetros de entrada:
   • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
   • Espacio de nombres del activo: Es el espacio de nombres del activo.
   • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
11. Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Necesitas esta URL de extremo cuando especificas la configuración de destino para tu flujo de publicación en Amazon Data Firehose.
13. Para inhabilitar el feed, haz clic en el botón de activación Feed Enabled. El feed está habilitado de forma predeterminada.
14. Haz clic en Listo.

Crea una clave de API para el feed de Amazon Data Firehose

1. Ve a la página Credenciales de la consola de Google Cloud.
2. Haz clic en Crear credenciales y selecciona Clave de API.
3. Restringe el acceso de la clave de API a la API de Chronicle.

Especifica la URL del extremo

En Amazon Data Firehose, especifica el extremo HTTPS y la clave de acceso.

1. Adjunta la clave de API a la URL del extremo del feed y especifícala como la URL del extremo HTTP en el siguiente formato:

     ENDPOINT_URL?key=API_KEY
   

   Reemplaza lo siguiente:

   • ENDPOINT_URL: Es la URL del extremo del feed.
   • API_KEY: Es la clave de API para autenticarse en Google Security Operations.

2. Para la clave de acceso, especifica la clave secreta que obtuviste cuando creaste el feed de Amazon Data Firehose.

Configura un feed de webhook HTTPS

Para configurar un feed de webhook HTTPS, haz lo siguiente:

1. Crea un feed de webhook HTTPS y copia la URL del extremo y la clave secreta.
2. Crea una clave de API que se especifique con la URL del extremo. También puedes volver a usar tu clave de API existente para autenticarte en Google Security Operations.
3. Especifica la URL del extremo en tu aplicación.

Requisitos previos

• Asegúrate de que se haya configurado un proyecto de Google Cloud para Google Security Operations y de que la API de Chronicle esté habilitada para el proyecto.

• Vincula una instancia de Google Security Operations a los servicios de Google Cloud.

Crea un feed de webhook HTTPS

1. En el menú Operaciones de seguridad de Google, selecciona Configuración y, luego, haz clic en Feeds.
2. Haz clic en Agregar nueva.
3. En el campo Nombre del feed, ingresa un nombre para el feed.
4. En la lista Tipo de fuente, selecciona Webhook.
5. Selecciona el tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el tipo de registro.
6. Haz clic en Siguiente.
7. Opcional: Especifica valores para los siguientes parámetros de entrada:
   • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
   • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
   • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
11. Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
13. Para inhabilitar el feed, haz clic en el botón de activación Feed Enabled. El feed está habilitado de forma predeterminada.
14. Haz clic en Listo.

Crea una clave de API para el feed de webhook

1. Ve a la página Credenciales de la consola de Google Cloud.
2. Haz clic en Crear credenciales y selecciona Clave de API.
3. Restringe el acceso de la clave de API a la API de Chronicle.

Especifica la URL del extremo

1. En tu aplicación cliente, especifica el extremo HTTPS, que está disponible en el feed de webhook.

2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

   X-goog-api-key = API_KEY

   X-Webhook-Access-Key = SECRET

   Te recomendamos que especifiques la clave de API como un encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:

     ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Reemplaza lo siguiente:

   • ENDPOINT_URL: Es la URL del extremo del feed.
   • API_KEY: Es la clave de API para autenticarse en Google Security Operations.
   • SECRET: Es la clave secreta que generaste para autenticar el feed.

Ejemplo de configuración del feed de Google Cloud Storage

1. En el menú Operaciones de seguridad de Google, selecciona Configuración y, luego, haz clic en Feeds.
2. Haz clic en Agregar nueva.
3. Selecciona Google Cloud Storage en Tipo de fuente.
4. Selecciona el tipo de registro. Por ejemplo, para crear un feed para los registros de auditoría de Google Kubernetes Engine, selecciona Registros de auditoría de Google Kubernetes Engine como Tipo de registro.
5. Haz clic en Obtener cuenta de servicio. Google Security Operations proporciona una cuenta de servicio única que usa para transferir datos.
6. Configura el acceso de la cuenta de servicio para que pueda acceder a los objetos de Cloud Storage. En este documento, consulta Otorga acceso a la cuenta de servicio de Google Security Operations.
7. Haz clic en Siguiente.
8. Según la configuración de Cloud Storage que creaste, especifica los valores para los siguientes campos:
   • URI del bucket de almacenamiento
   • Un URI es un
   • Opción de eliminación de fuentes
9. Haz clic en Siguiente y, luego, en Enviar.

Otorga acceso a la cuenta de servicio de Google Security Operations

1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
   

   Ir a Buckets

2. Otorga acceso a la cuenta de servicio a los objetos de Cloud Storage relevantes.

   • Para otorgar permiso de lectura a un archivo específico, completa los siguientes pasos:

     1. Selecciona el archivo y haz clic en Editar acceso.
     2. Haz clic en Agregar principal.
     3. En el campo Principales nuevas, ingresa el nombre de la cuenta de servicio de Google Security Operations.
     4. Asigna un rol que contenga el permiso de lectura a la cuenta de servicio de Operaciones de seguridad de Google. Por ejemplo, Visualizador de objetos de almacenamiento (roles/storage.objectViewer). Solo se puede hacer si no habilitaste el acceso uniforme a nivel de bucket.
     5. Haz clic en Guardar.

   • Para otorgar permiso de lectura a varios archivos, debes otorgar acceso a nivel del bucket. Debes agregar la cuenta de servicio de Operaciones de seguridad de Google como principal a tu bucket de almacenamiento y otorgarle el rol de IAM Visualizador de objetos de almacenamiento (roles/storage.objectViewer).

     Si configuras el feed para que borre los archivos de origen, debes agregar la cuenta de servicio de Google Security Operations como principal en tu bucket y otorgarle el rol de administrador de objetos de almacenamiento (roles/storage.objectAdmin) de IAM.

Configurar los Controles del servicio de VPC

Si los Controles del servicio de VPC están habilitados, se requiere una regla de entrada para proporcionar acceso al bucket de Cloud Storage.

Se deben permitir los siguientes métodos de Cloud Storage en la regla de entrada:

• google.storage.objects.list. Es obligatorio para un feed de un solo archivo.
• google.storage.objects.get: Obligatorio para los feeds que requieren acceso a directorios o subdirectorios.
• google.storage.objects.delete. Obligatorio para los feeds que requieren la eliminación del archivo de origen.

Ejemplo de regla de entrada

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Estado del feed

Puedes supervisar el estado del feed desde la página inicial Feeds. Los feeds pueden tener los siguientes estados:

• Activo: El feed está configurado y listo para transferir datos a tu cuenta de Operaciones de seguridad de Google.
• InProgress: Google Security Operations ahora intenta extraer datos del tercero configurado.
• Completado: Este feed recuperó los datos correctamente.
• Archivo: Feed inhabilitado.

• Error: El feed no puede recuperar datos correctamente. Es probable que se deba a un problema de configuración. Haz clic en la pregunta para mostrar el error de configuración. Una vez que hayas corregido el error y vuelto a enviar el feed, regresa a la página Feeds para determinar si el feed ahora funciona.

Cómo editar feeds

En la página Feeds, puedes editar un feed existente:

1. Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna derecha.

2. Haz clic en Editar feed. Ahora puedes modificar los parámetros de entrada del feed y volver a enviarlo a Google Security Operations. Google Security Operations intentará usar el feed editado.

Habilita y habilita feeds

En la columna Estado, los feeds habilitados se etiquetan como Activo, En proceso, Completado o Falló. Los campos inhabilitados se etiquetan como Archivado. Para obtener una descripción, consulta el estado del feed.

En la página Feeds, puedes habilitar o inhabilitar cualquiera de los feeds existentes:

1. Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna derecha.

2. Para habilitar un feed, haz clic en el botón de activación Habilitar feed.

3. Para inhabilitar un feed, haz clic en el botón de activación Inhabilitar feed. El feed ahora se etiqueta como Archivado.

Borra feeds

En la página Feeds, también puedes borrar un feed existente:

1. Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna derecha.

2. Haz clic en Borrar feed. Se abrirá la ventana BORRAR FEED. Para borrar el feed de forma permanente, haz clic en Sí, borrar.

Controla la velocidad de transferencia

Cuando la tasa de transferencia de datos de un inquilino alcanza un umbral determinado, Google Security Operations restringe la tasa de transferencia de feeds de datos nuevos para evitar que una fuente con una tasa de transferencia alta afecte la tasa de transferencia de otra fuente de datos. En este caso, hay una demora, pero no se pierden datos. El volumen de transferencia y el historial de uso del inquilino determinan el umbral.

Para solicitar un aumento del límite de frecuencia, comunícate con Atención al cliente de Cloud.

Soluciona problemas

En la página Feeds, puedes ver detalles como el tipo de fuente, el tipo de registro, el ID del feed y el estado de los feeds existentes:

1. Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna derecha.

2. Haz clic en Ver feed. Aparecerá un diálogo con los detalles del feed. En el caso de un feed que no se pudo publicar, puedes encontrar los detalles del error en Detalles > Estado.

En el caso de un feed con errores, los detalles incluyen la causa del error y los pasos para corregirlo. En la siguiente tabla, se describen los mensajes de error que puedes encontrar cuando trabajas con feeds de datos.