Esta página foi traduzida pela API Cloud Translation.

faça a ingestão de dados do Google Cloud nas operações de segurança do Google

Nesta página, mostramos como ativar e desativar a ingestão de dados do Google Cloud nas operações de segurança do Google. O Google Security Operations permite que você armazene, pesquise e examine as informações de segurança agregadas da sua empresa de acordo com o período de armazenamento de dados. Isso é feito há meses ou mais.

Visão geral

Há duas opções para enviar dados do Google Cloud às operações de segurança do Google. A escolha da opção certa depende do tipo de registro.

Opção 1: ingestão direta

Um filtro especial do Cloud Logging pode ser configurado no Google Cloud para enviar tipos de registro específicos para as operações de segurança do Google em tempo real. Esses registros são gerados pelos serviços do Google Cloud.

As operações de segurança do Google recebem registros mesmo que eles sejam excluídos para envolvidos no projeto no Google Cloud, mas incluídos tanto no filtro de exportação de registros quanto na geração de registros do Google Cloud no nível da organização. Para excluir registros das Operações de segurança do Google, é preciso atualizar o filtro de exportação de registros das Operações de segurança do Google no Google Cloud.

Os tipos de registro disponíveis incluem:

Registros de auditoria do Cloud
Cloud NAT
Cloud DNS
Firewall de Próxima Geração do Cloud
Sistema de detecção de intrusões do Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos do Windows
syslog do Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Daemon de auditoria (auditado)
Apigee
reCAPTCHA Enterprise
Registros do Cloud Run (GCP_RUN)
Firewall de Próxima Geração do Cloud

Para coletar registros de aplicativos do Compute Engine ou do Google Kubernetes Engine (GKE), como Apache, Nginx ou IIS, use a opção 2. Além disso, crie um tíquete de suporte com as Operações de segurança do Google para fornecer feedback para suporte como um tipo de registro usando a Opção 1.

Para conferir filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para as operações de segurança do Google.

Outros metadados do Google Cloud a serem usados como contexto para fins de aprimoramento também podem ser enviados às operações de segurança do Google. Consulte Como exportar metadados de recursos do Google Cloud para as operações de segurança do Google para mais detalhes.

Opção 2: Google Cloud Storage

O Cloud Logging pode encaminhar registros para o Cloud Storage, que serão buscados pelas operações de segurança do Google de maneira programada.

Para ver detalhes sobre como configurar o Cloud Storage para operações de segurança do Google, consulte Gerenciamento de feed: Cloud Storage.

Antes de começar

Antes de ingerir seus dados do Google Cloud na sua instância de Operações de Segurança do Google, é preciso concluir as seguintes etapas:

Entre em contato com seu representante de operações de segurança do Google e receba o código de acesso único necessário para ingerir seus dados do Google Cloud.
Conceda os seguintes papéis do IAM necessários para acessar a seção "Operações de segurança do Google":
- Administrador de serviço do Chronicle (roles/chroniclesm.admin): papel do IAM para executar todas as atividades.
- Leitor de serviço do Chronicle (roles/chroniclesm.viewer): papel do IAM para ver apenas o estado de ingestão.
- Editor administrador da Central de segurança (roles/securitycenter.adminEditor): necessário para ativar a ingestão de metadados de recursos do Cloud.
Se você planeja ativar os metadados do recurso Cloud Asset, também é necessário ativar o serviço do Google Cloud de nível Standard ou Premium do Security Command Center. Consulte Ativar o Security Command Center para uma organização para mais informações.

Como conceder papéis do IAM

É possível conceder os papéis do IAM necessários usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o Console do Google Cloud, conclua as seguintes etapas:

Faça login na organização do Google Cloud à qual você quer se conectar e navegue até a tela do IAM usando Produtos > IAM e administrador > IAM.
Na tela do IAM, selecione o usuário e clique em Editar membro.

Observação: se você não estiver na visualização Organização do IAM, o botão Editar membro estará desativado e será necessário navegar até a tela do IAM da organização.
Na tela Editar permissões, clique em Adicionar outro papel e pesquise as Operações de segurança do Google para encontrar os papéis do IAM.
Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, siga estas etapas:

Verifique se você fez login na organização correta. Para verificar isso, execute o comando gcloud init.
Para conceder o papel do IAM de Administrador de serviço do Chronicle usando gcloud, execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização.
- USER_EMAIL: o endereço de e-mail do usuário administrador.
Para conceder o papel do IAM de Leitor do serviço de operações de segurança do Google usando gcloud, execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```

Para conceder o papel de Editor administrador da Central de segurança usando gcloud, execute o seguinte comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Como ativar a ingestão de dados do Google Cloud

Os dados do Google Cloud são ingeridos usando uma API interna particular entre o Security Command Center e o Google Security Operations. A ingestão nunca chega à rede externa e nunca usa endereços IP. O Google acessa os registros do Google Cloud diretamente com base na autenticação feita com o código de uso único fornecido pelo Google Security Operations para o Security Command Center.

Para ativar a ingestão de dados da sua organização do Google Cloud na instância das Operações de segurança do Google, faça o seguinte:

Acesse a página "Operações de segurança do Google" para acessar o console do Google Cloud.
Acessar a página "Operações de segurança do Google"
Digite o código de acesso único no campo Código de acesso das Operações de segurança do Google.
Para consentir com o uso das Operações de segurança do Google, marque a caixa Concordo com os Termos e Condições do uso dos meus dados do Google Cloud pelo Chronicle.
Clique em Conectar as operações de segurança do Google.

Agora seus dados do Google Cloud serão enviados para as operações de segurança do Google. É possível usar os recursos de análise das Operações de Segurança do Google para investigar problemas relacionados à segurança. As seções a seguir descrevem maneiras de ajustar os tipos de dados do Google Cloud que serão enviados às operações de segurança do Google

Como exportar os registros do Google Cloud para as operações de segurança do Google

É possível exportar os seguintes tipos de dados do Google Cloud para sua instância do Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORIA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajustar a expressão regular do filtro de registro, conforme necessário
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar seus registros do Google Cloud para as Operações de segurança do Google, ative a opção Registros do Google Cloud. Todos os tipos de registro do Google Cloud listados acima serão exportados para sua instância das Operações de segurança do Google.

Para ver as práticas recomendadas sobre quais filtros de registro usar, consulte Análise de registros de segurança no Google Cloud.

Exportar configurações de filtro

Por padrão, os registros de auditoria do Cloud (atividade do administrador e eventos do sistema) e os registros do Cloud DNS são enviados para sua conta de operações de segurança do Google. No entanto, você pode personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é baseado na linguagem de consulta do Google Logging.

Para definir um filtro personalizado para seus registros, siga estas etapas:

Para definir o filtro, crie um filtro personalizado para seus registros usando a linguagem de consulta do Logging. A documentação a seguir descreve como definir esse tipo de filtro: /logging/docs/view/logging-query-language
Navegue até a Análise de registros usando o link fornecido na guia Exportar configurações de filtro, copie a nova consulta no campo Consulta e clique em Executar consulta para testá-la.

Verifique se os registros correspondentes exibidos na Análise de registros são exatamente os que você pretende exportar para as operações de segurança do Google.

Siga estas etapas na guia Exportar configurações do filtro:

Quando o filtro estiver pronto, clique no ícone de edição e cole-o no campo Exportar filtro.
Clique em Salvar filtro personalizado. Seu novo filtro personalizado funciona com todos os novos registros exportados para sua conta das Operações de Segurança do Google.
Se você redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do seu filtro personalizado.

Como ajustar filtros de registros de auditoria do Cloud

Os registros de acesso a dados de auditoria do Cloud podem produzir um grande volume de registros sem muito valor de detecção de ameaças. Se você optar por enviar esses registros para o Google Security Operations, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui eventos de alto volume, como operações de leitura e lista do Cloud Storage e do Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Saiba como ajustar os registros de acesso a dados de auditoria do Cloud neste link.

Exportar exemplos de filtro

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir determinados tipos de registros da exportação para sua conta das Operações de Segurança do Google.

Exemplo de filtro de exportação 1: incluir outros tipos de registro

O filtro de exportação a seguir exporta registros de transparência no acesso, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação 2: incluir outros registros de um projeto específico

O filtro de exportação a seguir exporta registros de transparência no acesso de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 3: incluir outros registros de uma pasta específica

O filtro de exportação a seguir exporta registros de transparência de acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 4: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a organização do Google Cloud, com exceção de um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Como exportar metadados de recursos do Google Cloud para as operações de segurança do Google

Exporte os metadados dos recursos do Google Cloud para as operações de segurança do Google. Esses metadados de recursos são extraídos do Inventário de recursos do Google Cloud e consistem em informações sobre seus recursos, recursos e identidades, incluindo o seguinte:

Ambiente
Local
Zona
Modelos de hardware
Relações de controle de acesso entre recursos e identidades

Confira a seguir os tipos específicos de metadados dos recursos do Google Cloud que serão exportados para sua conta das Operações de segurança do Google:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Veja a seguir alguns exemplos de metadados de recursos do Google Cloud:

Nome do aplicativo — Google-iamSample/0.1
Nome do projeto — projects/my-project

Exemplos de campos de registro de contexto do Resource Manager incluem assetType, resource.data.name e resource.version.

Para mais informações sobre os tipos de recursos, consulte Tipos de recursos compatíveis com o Inventário de recursos do Cloud.

Para exportar os metadados do recurso do Google Cloud para as Operações de segurança do Google, ative a opção Metadados do recurso do Cloud.

Ativar metadados de recurso do Cloud.

Referência de mapeamento de campo e tipos de recursos compatíveis

A tabela a seguir lista os analisadores de contexto compatíveis com as Operações de segurança do Google, o rótulo de ingestão correspondente e os tipos de recursos compatíveis.

Para acessar a documentação de referência de mapeamento do analisador de contexto, clique no nome dele na tabela.

Nome do serviço	Rótulo de ingestão	Tipos de recursos compatíveis
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Como exportar as descobertas do Security Command Center para as operações de segurança do Google

É possível exportar as descobertas do Event Threat Detection (ETD) do Security Command Center Premium e todas as outras descobertas para as Operações de segurança do Google.

Para mais informações sobre as descobertas do Event Threat Detection, consulte a visão geral do Security Command Center.

Para exportar as descobertas do nível Premium do Security Command Center para as Operações de Segurança do Google, ative a opção Descobertas Premium do Security Command Center.

Ativar descobertas do nível Premium do Security Command Center.

Como exportar dados de proteção de dados sensíveis para as operações de segurança do Google

Para processar metadados do recurso de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

Preencha a seção anterior deste documento para ativar a ingestão de dados do Google Cloud.
Configurar a proteção de dados sensíveis para criar perfis para dados.
Defina a configuração da verificação para publicar perfis de dados nas operações de segurança do Google.

Consulte a documentação da proteção de dados sensíveis para informações detalhadas sobre como criar perfis para dados do BigQuery.

Como desativar a ingestão de dados do Google Cloud

Marque a caixa Quero desconectar as Operações de Segurança do Google e parar de enviar registros do Google Cloud para o Operações de Segurança do Google.
Clique em Desconectar as operações de segurança do Google.

Solução de problemas

Se os relacionamentos entre recursos e identidades estiverem ausentes no sistema de Operações de Segurança do Google, defina a opção Exportar registros do Cloud para as Operações de Segurança do Google como "desativada" e, em seguida, ativada novamente.
Os metadados do recurso são periodicamente ingeridos nas Operações de segurança do Google. Aguarde algumas horas para que as mudanças fiquem visíveis na interface e nas APIs de Operações de Segurança do Google.

A seguir

Abra sua conta de operações de segurança do Google usando o URL específico do cliente fornecido pelo seu representante de operações de segurança do Google.
Saiba mais sobre as Google Security Operations.