Guía del usuario de administración de feeds

Descripción general y requisitos previos

La administración de feeds de Chronicle te permite crear y administrar feeds de datos en tu cuenta de Chronicle. La IU de administración de feeds se basa en esta API. Para obtener más información, consulta la API de administración de feeds.

Cada feed de datos tiene su propio conjunto de requisitos previos que se deben completar antes de configurar el feed en Chronicle. Estos requisitos previos se describen en la sección Configuración de feeds por tipo de la documentación de la API de administración de feeds. Busque el tipo de feed de datos que necesita configurar y siga las instrucciones proporcionadas.

Borrar archivos de origen

Como se mencionó en la sección Descripción general, los distintos tipos de feeds tienen diferentes requisitos previos.

Para varios tipos de feeds, incluido Cloud Storage, hay un campo con la etiqueta OPCIÓN DE ELIMINACIÓN DE FUENTE en el flujo de trabajo Agregar nuevo o Editar feed. Es un menú desplegable con tres opciones:

  1. No borrar archivos nunca
  2. Borra los archivos transferidos y los directorios vacíos
  3. Borrar archivos transferidos

Las opciones 2 y 3 implican eliminaciones: una para archivos y otra para archivos Y cualquier directorio vacío. Si seleccionas cualquiera de esas opciones, deberás agregar los permisos específicos para tu tipo de feed, que se encuentran en la sección Configuración del feed por tipo de la documentación de la API de administración de feeds.

Esta opción te permite borrar un objeto del sistema de almacenamiento después de haberlo transferido. Los feeds siempre recuerdan qué objetos (o archivos) se transfirieron y nunca transfieren el mismo archivo dos veces (a menos que se haya actualizado). Sin embargo, debe configurar esta opción si desea que el sistema borre el objeto de origen después de que se haya transferido correctamente.

Creación y edición de feeds

Para acceder a la interfaz de Administración de feeds, selecciona Configuración > Feeds en la barra de navegación.

Los feeds de datos que aparecen en esta página incluyen todos los feeds que Google configuró para su cuenta, además de los que usted configuró.

Feeds

Figura 1: Feeds

Agregar un feed

Para agregar un feed a tu cuenta de Chronicle, sigue estos pasos. Asegúrese de completar los requisitos previos del tipo de feed de datos que desea agregar antes de intentar agregar un feed nuevo aquí. Consulta la sección Descripción general y requisitos previos para obtener más información.

Puedes agregar hasta cinco feeds para cada tipo de registro.

  1. Haz clic en Agregar nuevo. Aparecerá la ventana AGREGAR FEED.

  2. Desde la pestaña Configurar propiedades, selecciona el TIPO DE ORIGEN en el menú desplegable. El tipo de fuente es el mecanismo mediante el cual intentas transferir datos a Chronicle. Puedes seleccionar entre los siguientes tipos de fuentes de feed:

    • Amazon S3
    • Amazon SQS
    • Google Cloud Storage
    • Archivos HTTP(S) (no es una API)
    • Microsoft Azure Blob Storage
    • API de terceros

  3. Selecciona el Tipo de registro en el menú desplegable. Los registros disponibles varían según el tipo de fuente que seleccionaste con anterioridad. Haz clic en Siguiente.

    Si seleccionaste Google Cloud Storage como el tipo de fuente, usa la opción Obtener cuenta de servicio para obtener una cuenta de servicio única. En este documento, consulta el ejemplo de configuración de feeds de Google Cloud Storage.

    Selección del tipo de registro

    Figura 2. Selección del tipo de registro

  4. Especifica los parámetros necesarios en la pestaña Parámetros de entrada. Las opciones que se presentan aquí varían según la fuente y el tipo de registro seleccionados en la pestaña Configurar propiedades. Mantén el puntero sobre el ícono de pregunta en cada campo para obtener información adicional sobre lo que debes proporcionar.

  5. (Opcional) Puedes especificar un espacio de nombres aquí. Para obtener más información sobre los espacios de nombres, consulta la documentación sobre espacios de nombres de recursos.

  6. Haz clic en Siguiente.

    Configuración del parámetro de entrada

    Figura 3: Configuración del parámetro de entrada

  7. Revise la nueva configuración del feed en la pestaña Finalizar. Haz clic en Enviar cuando esté todo listo. Chronicle completa una verificación de validación del feed nuevo. Si el feed pasa la verificación, se genera un nombre para el feed, se envía a Chronicle y se comienza a intentar recuperar datos.

    Finaliza la solicitud de feed

    Figura 4: Finaliza la solicitud de feed

Ejemplo de configuración de feed de Google Cloud Storage

  1. En el menú de Chronicle, selecciona Configuración y, luego, haz clic en Feeds.
  2. Haz clic en Agregar nuevo.
  3. En Tipo de fuente, selecciona Google Cloud Storage.
  4. Selecciona el Tipo de registro. Por ejemplo, para crear un feed para los registros de auditoría de Google Kubernetes Engine, selecciona Registros de auditoría de Google Kubernetes Engine como el Tipo de registro.
  5. Haz clic en Obtener cuenta de servicio. Chronicle proporciona una cuenta de servicio única que Chronicle usa para transferir datos.
  6. Configurar el acceso de la cuenta de servicio para acceder a los objetos de Cloud Storage En este documento, consulta Otorga acceso a la cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.
  8. Según la configuración de Cloud Storage que creaste, especifica valores para los siguientes campos:
    • URI del bucket de almacenamiento
    • El URI es un
    • Opción de eliminación de la fuente
  9. Haz clic en Siguiente y, luego, en Enviar.

Otorga acceso a la cuenta de servicio de Chronicle

  1. En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Otorga acceso a la cuenta de servicio a los objetos de Cloud Storage relevantes.

    • Para otorgar permiso de lectura a un archivo específico, completa los siguientes pasos:

      1. Selecciona el archivo y haz clic en Editar acceso.
      2. Haz clic en Agregar principal.
      3. En el campo Principales nuevas, ingresa el nombre de la cuenta de servicio de Chronicle.
      4. Asigna un rol que contenga el permiso de lectura a la cuenta de servicio de Chronicle. Por ejemplo, Visualizador de objetos de almacenamiento (roles/storage.objectViewer). Esto solo se puede hacer si no habilitaste el acceso uniforme a nivel de bucket.
      5. Haz clic en Guardar.

    • Para otorgar permiso de lectura a varios archivos, debes otorgar acceso a nivel de bucket. Debes agregar la cuenta de servicio de Chronicle como una principal a tu bucket de almacenamiento y otorgarle el rol de IAM Visualizador de objetos de almacenamiento (roles/storage.objectViewer).

      Si configuras el feed para borrar archivos de origen, debes agregar la cuenta de servicio de Chronicle como principal al bucket y otorgarle el rol de IAM Administrador de objetos de almacenamiento (roles/storage.objectAdmin).

Configurar los Controles del servicio de VPC

Si los Controles del servicio de VPC están habilitados, se requiere una regla de entrada para proporcionar acceso al bucket de Cloud Storage.

Se deben permitir los siguientes métodos de Cloud Storage en la regla de entrada:

  • google.storage.objects.list. Es obligatorio para un solo feed de archivo.
  • google.storage.objects.get. Es obligatorio para los feeds que requieren acceso a directorios o subdirectorios.
  • google.storage.objects.delete. Es obligatorio para los feeds que requieren la eliminación del archivo de origen.

Regla de entrada de muestra

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Estado del feed

Puede supervisar el estado del feed en la página inicial Feeds. Los feeds pueden tener los siguientes estados:

  • Activo: El feed está configurado y listo para transferir datos a tu cuenta de Chronicle.
  • En curso: Chronicle ahora intenta extraer datos del tercero configurado.
  • Completado: Datos recuperados correctamente por este feed.
  • Archivado: Feed inhabilitado
  • Error: El feed no puede recuperar los datos correctamente. Es probable que esto se deba a un problema de configuración. Haz clic en la pregunta para mostrar el error de configuración. Después de que corrija el error y vuelva a enviar el feed, regrese a la página Feeds para determinar si ya funciona.

Editar feeds

En la página Feeds, puede editar un feed existente:

  1. Mantén el puntero sobre un feed existente y haz clic en el menú de tres puntos en la columna de la derecha.

  2. Haz clic en Editar feed. Ahora puedes modificar los parámetros de entrada del feed y volver a enviarlo a Chronicle. Chronicle intentará usar el feed editado.

Cómo habilitar o inhabilitar feeds

En la columna Estado, los feeds habilitados se etiquetan como Activo, En curso, Completado o Con errores. Los campos inhabilitados se etiquetan como Archivados. Para ver una descripción, consulta el estado del feed.

En la página Feeds, puede habilitar o inhabilitar cualquiera de los feeds existentes:

  1. Mantén el puntero sobre un feed existente y haz clic en el menú de tres puntos en la columna de la derecha.

  2. Para habilitar un feed, haz clic en el botón de activación Habilitar feed.

  3. Si quieres inhabilitar un feed, haz clic en el botón de activación Inhabilitar feed. El feed ahora está etiquetado como Archivado.

Borra feeds

En la página Feeds, también puede borrar un feed existente:

  1. Mantén el puntero sobre un feed existente y haz clic en el menú de tres puntos en la columna de la derecha.

  2. Haz clic en Borrar feed. Se abrirá la ventana BORRAR FEED. Para borrar el feed de forma permanente, haz clic en Sí, borrarlo.