Ingiere Google Cloud datos en Google Security Operations

Disponible en:

En esta página se describe cómo habilitar e inhabilitar la Google Cloud ingestión de datos en Google SecOps. De esta forma, puede almacenar, buscar y examinar información de seguridad agregada de su empresa durante meses o más tiempo, según el periodo de conservación de datos que haya definido.

Información general

Hay dos opciones para enviar Google Cloud datos a Google SecOps. La opción que elijas dependerá del tipo de registro.

Opción 1: Ingestión directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google SecOps en tiempo real. Estos registros los generan los servicios de Google Cloud . Los registros se recogen a partir del momento en que se configura el filtro. No se incluyen los registros generados antes de la configuración. Este reenvío en tiempo real se aplica a Cloud Logging, los metadatos de recursos de Cloud y los resultados de Security Command Center Premium.

Google Security Operations solo ingiere los tipos de registro admitidos. Entre los tipos de registros disponibles se incluyen los siguientes:

  • Registros de auditoría de Cloud
  • Cloud NAT
  • Cloud DNS
  • Cloud Next Generation Firewall
  • Sistema de Detección de Intrusos de Cloud
  • Cloud Load Balancing
  • Cloud SQL
  • Registros de eventos de Windows
  • Syslog de Linux
  • Sysmon para Linux
  • Zeek
  • Google Kubernetes Engine
  • Audit Daemon (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Registros de Cloud Run (GCP_RUN)
  • Google Cloud Eventos de abuso

Para obtener información sobre los filtros de registro específicos y más detalles sobre la ingesta, consulta el artículo Exportar registros Google Cloud a Google SecOps.

También puede enviar Google Cloud metadatos de recursos que se usen para enriquecer el contexto. Para obtener más información, consulta Exportar metadatos de recursos Google Cloud a Google SecOps.

Opción 2: Google Cloud Almacenamiento

Cloud Logging puede enrutar registros a Cloud Storage por Google SecOps de forma programada.

Para obtener información sobre cómo configurar Cloud Storage para Google SecOps, consulta Gestión de feeds: Cloud Storage.

Antes de empezar

Para poder ingerir Google Cloud datos en una instancia de Google SecOps, debes completar los siguientes pasos:

  1. Concede los siguientes roles de Gestión de Identidades y Accesos (IAM) a nivel de organización para acceder a la sección Google SecOps:

    • Administrador de servicios de Chronicle (roles/chroniclesm.admin): rol de gestión de identidades y accesos para realizar todas las actividades.
    • Lector de servicios de Chronicle (roles/chroniclesm.viewer): rol de gestión de identidades y accesos para ver solo el estado de la ingesta.
    • Editor administrador del Centro de Seguridad (roles/securitycenter.adminEditor): se necesita para habilitar la ingesta de metadatos de recursos de Cloud.

  2. Si tienes previsto habilitar Metadatos de recursos de Cloud, debes incorporar la organización a Security Command Center. Consulta Información general sobre la activación a nivel de organización para obtener más información.

Asignar roles de gestión de identidades y accesos

Puedes asignar los roles de gestión de identidades y accesos necesarios mediante la Google Cloud consola o la CLI de gcloud.

Para conceder roles de IAM con la consola de Google Cloud , sigue estos pasos:

  1. Inicia sesión en la Google Cloud organización a la que quieras conectarte y ve a la pantalla Gestión de identidades y accesos mediante Productos > Gestión de identidades y accesos y administración > Gestión de identidades y accesos.

  2. En la pantalla IAM, selecciona el usuario y haz clic en Editar miembro.

  3. En la pantalla Editar permisos, haz clic en Añadir otro rol y busca Google SecOps para encontrar los roles de gestión de identidades y accesos.

  4. Cuando hayas asignado los roles, haz clic en Guardar.

Para asignar roles de gestión de identidades y accesos con la CLI de Google Cloud, sigue estos pasos:

  1. Ejecuta gcloud init para verificar que has iniciado sesión en la organización y el proyecto correctos.

  2. Para asignar el rol de gestión de identidades y accesos Administrador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Haz los cambios siguientes:

    • ORGANIZATION_ID: ID numérico de la organización.
    • USER_EMAIL: la dirección de correo del usuario.

  3. Para conceder el rol de gestión de identidades y accesos de lector de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Para asignar el rol de gestión de identidades y accesos Editor de administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Habilitar la ingesta directa desde Google Cloud

Los pasos para habilitar la ingestión directa desde Google Cloud varían en función de la propiedad del proyecto al que esté vinculada tu instancia de Google SecOps.

Una vez que hayas configurado la ingestión directa, tus Google Cloud datos se enviarán a Google SecOps. Puedes usar las funciones de análisis de Google SecOps para investigar problemas relacionados con la seguridad.

Configurar la ingesta cuando el proyecto es propiedad del cliente

Sigue estos pasos si eres el propietario del Google Cloud proyecto.

Puede configurar la ingestión directa de varias organizaciones mediante la misma página de configuración a nivel de proyecto. Sigue estos pasos para crear una configuración y editar una que ya tengas.

Cuando migras una instancia de Google SecOps para que se vincule a un proyecto de tu propiedad y la ingestión directa se había configurado antes de la migración, la configuración de la ingestión directa también se migra.

  1. Ve a la página Google SecOps > Ingestion Settings (Ajustes de ingesta) en la consola de Google Cloud .
    Ve a la página Google SecOps.
  2. Selecciona el proyecto vinculado a tu instancia de Google SecOps.

  3. En el menú Organización, selecciona la organización de la que se exportarán los registros. En el menú se muestran las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no estén vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a otra instancia de Google SecOps.

    Seleccionar organización

  4. En la sección Ajuste de ingesta de Google Cloud, haga clic en el interruptor Enviar datos a Google Security Operations para habilitar el envío de registros a Google SecOps.

  5. Selecciona una o varias de las siguientes opciones para definir el tipo de datos que se envían a Google SecOps:

  6. En la sección Configuración de filtros de exportación de clientes, configura los filtros de exportación para personalizar los datos de Cloud Logging que se envían a Google SecOps. Consulta los Google Cloud tipos de registros que se pueden exportar.

  7. Para ingerir registros de otra organización en la misma instancia de Google SecOps, selecciona la organización en el menú Organización y, a continuación, repite los pasos para definir el tipo de datos que quieres exportar y los filtros de exportación. Verá varias organizaciones en el menú Organización.

  8. Para exportar datos de Protección de Datos Sensibles (antes llamados datos de Google Cloud Data Loss Prevention) a Google SecOps, consulta el artículo Exportar datos de Protección de Datos Sensibles.

Configurar la ingestión en un proyecto gestionado por Google

Si Google Cloud es el propietario del proyecto, haz lo siguiente para configurar la ingestión directa desde tu organización de Google Cloud a tu instancia de Google SecOps:

  1. Ve a la pestaña Ingestión de Google SecOps > Resumen en la Google Cloud consola. Ir a la pestaña Ingesta de Google SecOps
  2. Haz clic en el botón Gestionar la configuración de ingesta de la organización.
  3. Si aparece el mensaje Página no visible para proyectos, selecciona una organización y haz clic en Seleccionar.
  4. Introduce tu código de acceso único en el campo Código de acceso único de Google SecOps.
  5. Marca la casilla Acepto los términos y condiciones de uso de mis datos por parte de Google SecOps Google Cloud .
  6. Haz clic en Conectar Google SecOps.
  7. Ve a la pestaña Configuración global de ingesta de la organización.

  8. Selecciona el tipo de datos que se enviará habilitando una o varias de las siguientes opciones:

  9. Vaya a la pestaña Configuración de filtros de exportación.

  10. En la sección Configuración de filtros de exportación de clientes, configura los filtros de exportación para personalizar los datos de Cloud Logging que se envían a Google SecOps. Consulta los Google Cloud tipos de registros que se pueden exportar.

  11. Para exportar datos de Protección de Datos Sensibles (antes llamados datos de Google Cloud Data Loss Prevention) a Google SecOps, consulta el artículo Exportar datos de Protección de Datos Sensibles.

Exportar registros Google Cloud

Después de habilitar Cloud Logging, puedes exportar datos de registro de losGoogle Cloud tipos de registro admitidos a tu instancia de Google SecOps.

Para exportar Google Cloud registros a Google SecOps, activa el interruptor Habilitar registros en la nube.

Tipos de registros admitidos para la exportación

Puedes personalizar el filtro de exportación de los registros que quieras exportar a Google SecOps. Incluya o excluya tipos de registro añadiendo o quitando filtros de exportación admitidos, que se indican en esta sección.

Puedes exportar los siguientes Google Cloud tipos de registros a tu instancia de Google SecOps. La siguiente lista se organiza por tipo de registro y etiqueta de ingestión de Google SecOps correspondiente:

  • Registros de auditoría de Cloud (GCP_CLOUDAUDIT):

    Esto incluye los registros de actividad del administrador, acceso, eventos del sistema, Transparencia de acceso y denegación de acceso por infracción de las políticas.

    • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")

  • Registros de Cloud NAT (GCP_CLOUD_NAT):

    • log_id("compute.googleapis.com/nat_flows")

  • Registros de Cloud DNS (GCP_DNS):

    • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)

  • Registros de Cloud Next Generation Firewall (GCP_FIREWALL):

    • log_id("compute.googleapis.com/firewall")

  • GCP_IDS:

    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")

  • GCP_LOADBALANCING:

    Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing.

    • log_id("requests")

  • GCP_CLOUDSQL:

    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")

  • GCP_VPC_FLOW:

    • log_id("compute.googleapis.com/vpc_flows") (solo para las regiones de EE. UU. y la UE)

  • NIX_SYSTEM:

    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
    • log_id("osconfig.googleapis.com/patch_job")

  • LINUX_SYSMON:

    • log_id("sysmon.raw")

  • WINEVTLOG:

    • log_id("winevt.raw")
    • log_id("windows_event_log")

  • BRO_JSON:

    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")

  • KUBERNETES_NODE:

    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")

  • AUDITD:

    • log_id("audit_log")

  • GCP_APIGEE_X:

    • log_id("apigee.googleapis.com/ingress_instance")
    • log_id("apigee.googleapis.com")
    • log_id("apigee-logs")
    • log_id("apigee")
    • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

  • GCP_RECAPTCHA_ENTERPRISE:

    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")

  • GCP_RUN:

    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")

  • GCP_NGFW_ENTERPRISE:

    • log_id("networksecurity.googleapis.com/firewall_threat")

  • GCP_ABUSE_EVENTS:

    • log_id("abuseevent.googleapis.com/abuseevent")

Personalizar la configuración de los filtros de exportación

De forma predeterminada, los registros de auditoría de Cloud (actividad de administrador y eventos del sistema) y los registros de Cloud DNS se envían a tu instancia de Google SecOps. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos de registros específicos.

Para definir un filtro personalizado para tus registros, sigue estos pasos:

  1. Identifica los registros de tu filtro personalizado con la herramienta de ámbito de registro.

  2. En la sección Filtro de registro generado automáticamente que aparece después de la herramienta de acotación de registros, copie el código del filtro de registro personalizado generado.

  3. Ve a la página Google SecOps en la Google Cloud consola y selecciona un proyecto.
    Ve a la página Google SecOps

  4. Abre el Explorador de registros mediante el enlace de la pestaña Export Filter Settings (Exportar configuración de filtros).

  5. Copia la nueva consulta en el campo Consulta y haz clic en Ejecutar consulta para probarla.

  6. Copia la nueva consulta en el campo Explorador de registros > Consulta y, a continuación, haz clic en Ejecutar consulta para probarla.

  7. Comprueba que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que quieres exportar a Google SecOps. Cuando el filtro esté listo, cópielo en la sección Configuración de filtro de exportación personalizada de Google SecOps.

  8. Vuelve a la sección Configuración de filtro de exportación personalizado de la página Google SecOps.

  9. Haga clic en el icono Editar del campo Filtro de exportación y, a continuación, pegue el filtro copiado en el campo.

  10. Haz clic en Guardar.

    • Si aparece el siguiente mensaje de error: "El filtro proporcionado puede permitir tipos de registro no admitidos", es posible que se haya incluido un tipo de registro no admitido en el filtro de exportación. Quita el tipo de registro no admitido del filtro de exportación. Incluye solo los tipos de registro que se indican en Google Cloud tipos de registro admitidos para la exportación.

    • Si la operación se realiza correctamente, el nuevo filtro personalizado se aplicará a todos los registros nuevos que se exporten a tu instancia de Google SecOps.

    • Opcional: Para restablecer el filtro de exportación a la versión predeterminada, guarda una copia del filtro personalizado y, a continuación, haz clic en Restablecer a predeterminado.

Ajustar filtros de registros de auditoría de Cloud

Los registros de acceso a datos escritos por Cloud Audit Logs pueden generar un gran volumen de datos sin mucho valor para la detección de amenazas. Si decides enviar estos registros a Google SecOps, debes filtrar los registros que se generen por actividades rutinarias.

El siguiente filtro de exportación registra los registros de acceso a datos y excluye los eventos de gran volumen, como las operaciones de lectura y de lista de Cloud Storage y Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select"  
  AND NOT protoPayload.methodName =~ "^google\.spanner\.v1\.Spanner\.(ExecuteStreamingSql|BeginTransaction|Commit)$" )

Para obtener más información sobre cómo ajustar los registros de acceso a datos generados por Registros de auditoría de Cloud, consulta Gestionar el volumen de registros de auditoría de acceso a datos.

Ejemplos de filtros de exportación

Los siguientes ejemplos de filtros de exportación muestran cómo puede incluir o excluir determinados tipos de registros de la exportación a su instancia de Google SecOps.

Ejemplo de filtro de exportación: incluir tipos de registro adicionales

El siguiente filtro de exportación exporta los registros de Transparencia de acceso, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación: incluir registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de Transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: incluir registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta los registros de Transparencia de acceso de una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: excluir registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la organización, Google Cloud excepto de un proyecto concreto:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadatos de recursos Google Cloud

Puede exportar los metadatos de sus recursos de Cloud Asset Inventory a Google SecOps. Google Cloud Estos metadatos de recursos se extraen de Cloud Asset Inventory y constan de información sobre sus recursos, activos e identidades, como la siguiente:

  • Entorno
  • Ubicación
  • Zona
  • Modelos de hardware
  • Relaciones de control de acceso entre recursos e identidades

Los siguientes tipos de metadatos de recursos se exportarán a tu instancia de Google SecOps: Google Cloud

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Estos son algunos ejemplos de metadatos de recursos de Google Cloud :

  • Nombre de la aplicación: Google-iamSample/0.1
  • Nombre del proyecto: projects/my-project

Para exportar los metadatos de los recursos a Google SecOps, activa el interruptor Metadatos de recursos de Cloud. Google Cloud

Para obtener más información sobre cómo exportar registros de contexto específicos e insertarlos en Google SecOps, consulta Configuración e inserción predeterminadas del analizador y busca "context" o "analysis".

Exportar resultados de Security Command Center

Puede exportar los resultados de Event Threat Detection de Security Command Center Premium y todos los demás resultados a Google SecOps.

Google SecOps admite las siguientes clases de detecciones de Security Command Center:

  • ERROR
  • MISCONFIGURATION
  • OBSERVATION
  • POSITIVE_VALIDATION
  • POSTURE_VIOLATION
  • THREAT
  • TOXIC_COMBINATION
  • UNSPECIFIED
  • VULNERABILITY

Para obtener más información sobre las detecciones de amenazas de eventos, consulta el artículo Información general sobre Event Threat Detection.

Para exportar tus resultados de Security Command Center Premium a Google SecOps, activa el interruptor Resultados de Security Command Center Premium.

Exportar datos de Protección de Datos Sensibles

Puede exportar sus datos de Protección de Datos Sensibles a Google SecOps.

Para ingerir metadatos de recursos de Protección de Datos Sensibles (DLP_CONTEXT), haz lo siguiente:

  1. Habilita la Google Cloud ingestión de datos completando la sección anterior de este documento.
  2. Configura Protección de Datos Sensibles para crear perfiles de datos.
  3. Define la configuración de análisis para publicar perfiles de datos en Google SecOps.

Consulta la documentación de Protección de Datos Sensibles para obtener información detallada sobre cómo crear perfiles de datos de BigQuery.

Inhabilitar la ingestión de datos Google Cloud

Los pasos para inhabilitar la ingestión directa de datos de Google Cloud varían en función de cómo se haya configurado Google SecOps. Elige una de estas opciones:

  • Si tu instancia de Google SecOps está vinculada a un proyecto que te pertenece y que gestionas, sigue estos pasos:

    1. Selecciona el proyecto vinculado a tu instancia de Google SecOps.
    2. En la Google Cloud consola, ve a la pestaña Ingestión, en Google SecOps.
      Ve a la página Google SecOps.
    3. En el menú Organización, selecciona la organización de la que se exportarán los registros.
    4. Desactiva el interruptor Enviar datos a Google Security Operations.
    5. Si has configurado la exportación de datos de varias organizaciones y quieres inhabilitarlas, sigue estos pasos con cada una de ellas.

  • Si tu instancia de Google SecOps está vinculada a un proyecto que Google Cloud posee y gestiona, sigue estos pasos:

    .
    1. Ve a la página Google SecOps > Ingestión de la consola de Google Cloud .
      Ve a la página Google SecOps.
    2. En el menú de recursos, selecciona la organización vinculada a tu instancia de Google SecOps y de la que estás ingiriendo datos.
    3. Marca la casilla Quiero desconectar Google SecOps y dejar de enviar registros a Google SecOps Google Cloud .
    4. Haz clic en Desconectar Google SecOps.

Controlar la tasa de ingestión

Cuando la tasa de ingestión de datos de un arrendatario alcanza un determinado umbral, Google Security Operations restringe la tasa de ingestión de los nuevos feeds de datos para evitar que una fuente con una tasa de ingestión alta afecte a la tasa de ingestión de otra fuente de datos. En este caso, hay un retraso, pero no se pierden datos. El volumen de ingestión y el historial de uso del arrendatario determinan el umbral.

Puedes solicitar un aumento del límite de frecuencia poniéndote en contacto con el servicio de atención al cliente de Cloud.

Solución de problemas

  • Si faltan las relaciones entre los recursos y las identidades en tu instancia de Google SecOps, inhabilita y vuelve a habilitar la ingestión directa de datos de registro en Google SecOps.
  • Google Cloud Los metadatos de los recursos se ingieren periódicamente en Google SecOps. Espera varias horas para que los cambios aparezcan en la interfaz de usuario y las APIs de Google SecOps.

  • Cuando añades un tipo de registro al filtro de exportación, puede que veas este mensaje: "El filtro proporcionado puede permitir tipos de registro no admitidos".

    Solución alternativa: Incluya en el filtro de exportación solo los tipos de registro que aparecen en la siguiente lista: Google Cloud tipos de registro admitidos para la exportación.

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.