Ingerir Google Cloud dados no Google Security Operations

Esta página descreve como ativar e desativar a ingestão de dados Google Cloud no Google SecOps. Assim, você pode armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa por meses ou mais, de acordo com o período de retenção de dados.

Visão geral

Há duas opções para enviar dados Google Cloud ao Google SecOps. A escolha da opção certa depende do tipo de registro.

Opção 1: transferência direta

Um filtro especial do Cloud Logging pode ser configurado em Google Cloud para enviar tipos de registro específicos ao Google SecOps em tempo real. Esses registros são gerados por serviços Google Cloud .

O Google Security Operations só processa tipos de registro compatíveis. Os tipos de registro disponíveis incluem:

• Registros de auditoria do Cloud
• Cloud NAT
• Cloud DNS
• Firewall de Próxima Geração do Cloud
• Sistema de detecção de intrusões do Cloud
• Cloud Load Balancing
• Cloud SQL
• Registros de eventos do Windows
• Syslog do Linux
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Daemon de auditoria (auditd)
• Apigee
• reCAPTCHA Enterprise
• Registros do Cloud Run (GCP_RUN)

Para saber mais sobre os filtros de registro específicos e outros detalhes de ingestão, consulte Exportar Google Cloud registros para o Google SecOps.

Também é possível enviar metadados de Google Cloud ativos usados para enriquecimento de contexto. Para mais detalhes, consulte Exportar metadados Google Cloud de recursos para o Google SecOps.

Opção 2: Google Cloud Armazenamento

O Cloud Logging pode encaminhar registros para o Cloud Storage pelo Google SecOps de forma programada.

Para saber como configurar o Cloud Storage para Google SecOps, consulte Gerenciamento de feed: Cloud Storage.

Antes de começar

Antes de ingerir dados do Google Cloud em uma instância do Google SecOps, siga estas etapas:

1. Conceda os seguintes papéis do IAM necessários para acessar a seção Google SecOps:

   • Administrador do serviço Chronicle (roles/chroniclesm.admin): função do IAM para realizar todas as atividades.
   • Visualizador de serviços do Chronicle (roles/chroniclesm.viewer): papel do IAM para visualizar somente o estado de ingestão.
   • Editor administrativo da Central de segurança (roles/securitycenter.adminEditor): necessário para ativar a ingestão de metadados de recursos da nuvem.

2. Se você planeja ativar os metadados de recursos do Cloud, faça a integração da organização com o Security Command Center. Consulte Visão geral da ativação no nível da organização para mais informações.

Como conceder papéis do IAM

É possível conceder os papéis necessários do IAM usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o Console do Google Cloud, conclua as seguintes etapas:

1. Faça login na Google Cloud organização a que você quer se conectar e acesse a tela do IAM usando Produtos > IAM e administrador > IAM.

2. Na tela do IAM, selecione o usuário e clique em Editar membro.

3. Na tela "Editar permissões", clique em Adicionar outro papel e pesquise "Google SecOps" para encontrar os papéis de IAM.

4. Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a CLI do Google Cloud, conclua as seguintes etapas:

1. Verifique se você fez login na organização correta. Verifique isso executando o comando gcloud init.

2. Para conceder o papel de administrador do IAM do Chronicle Service usando gcloud, execute o seguinte comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Substitua:

   • ORGANIZATION_ID: o ID numérico da organização.
   • USER_EMAIL: o endereço de e-mail do usuário.

3. Para conceder o papel de leitor do IAM do Chronicle Service usando gcloud, execute o seguinte comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Para conceder o papel de editor administrativo da Central de segurança usando gcloud, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Ativar a ingestão direta de Google Cloud

As etapas para ativar a transferência direta de Google Cloud são diferentes dependendo da propriedade do projeto ao qual sua instância do Google SecOps está vinculada.

• Se ele estiver vinculado a um projeto que você possui e gerencia, siga as etapas em Configurar transferência quando o projeto for de propriedade do cliente. Com essa abordagem, você pode configurar a ingestão de dados de mais de uma Google Cloud organização.

• Se estiver vinculado a um projeto que Google Cloud é proprietário e gerencia, siga as etapas em Configurar transferência quando o projeto for de Google Cloud.

Depois de configurar a ingestão direta, os dados Google Cloud são enviados para o Google SecOps. Você pode usar os recursos de análise do Google SecOps para investigar problemas relacionados à segurança.

Configurar a transferência quando o projeto for do cliente

Siga as etapas abaixo se você for o proprietário do projeto Google Cloud .

É possível configurar a transferência direta de várias organizações usando a mesma página de configuração no nível do projeto. Siga as etapas abaixo para criar uma nova configuração e editar uma existente.

Quando você migra uma instância do Google SecOps para que ela seja vinculada a um projeto que você possui e se a transferência direta foi configurada antes da migração, a configuração de transferência direta também será migrada.

1. Acesse a página Google SecOps > Configurações de transferência no console do Google Cloud.
   Acesse a página Google SecOps
2. Selecione o projeto vinculado à sua instância do Google SecOps.

3. No menu Organização, selecione a organização de onde os registros serão exportados. O menu mostra as organizações que você tem permissão para acessar. A lista pode incluir organizações que não estão vinculadas à instância do Google SecOps. Não é possível configurar uma organização que envie dados para uma instância diferente do Google SecOps.

   

4. Na seção Configuração de ingestão do Google Cloud, clique no botão Enviar dados ao Google Security Operations para ativar o envio de registros ao Google SecOps.

5. Selecione uma ou mais das seguintes opções para definir o tipo de dados enviados ao Google SecOps:

   • Google Cloud Logging: para mais informações sobre essa opção, consulte Exportar Google Cloud registros.
   • Metadados do recurso do Cloud: para mais informações sobre essa opção, consulte Exportar Google Cloud metadados do recurso.
   • Descobertas do Security Command Center Premium: para mais informações sobre essa opção, consulte Exportar descobertas do Security Command Center Premium.

6. Na seção Configurações do filtro de exportação do cliente, configure filtros de exportação para personalizar os dados do Cloud Logging enviados ao Google SecOps. Consulte Tipos de registroGoogle Cloud com suporte para exportação.

7. Para importar registros de outra organização para a mesma instância do Google SecOps, selecione a organização no menu Organization e repita as etapas para definir o tipo de dados a serem exportados e os filtros de exportação. Várias organizações serão listadas no menu Organização.

8. Para exportar dados da Proteção de Dados Sensíveis (antes chamada de dados de prevenção contra perda de dados do Google Cloud) para o Google SecOps, consulte Exportar dados da Proteção de Dados Sensíveis.

Configurar a transferência quando um projeto for de Google Cloud

Se Google Cloud for o proprietário do projeto, faça o seguinte para configurar a transferência direta da Google Cloud organização para sua instância do Google SecOps:

1. Acesse a guia Google SecOps > Visão geral > Ingestão no console do Google Cloud. Acesse a guia "Ingestão" do Google SecOps
2. Clique no botão Gerenciar configurações de transferência de organização.
3. Se a mensagem A página não pode ser visualizada por projetos aparecer, selecione uma organização e clique em Selecionar.
4. Insira seu código de acesso único no campo Código de acesso único do Google SecOps.
5. Marque a caixa Concordo com os Termos e Condições de uso do Google SecOps para meus dados Google Cloud .
6. Clique em Conectar o Google SecOps.
7. Acesse a guia Configurações de transferência global da organização.

8. Selecione o tipo de dados que serão enviados ativando uma ou mais das seguintes opções:

   • Google Cloud Logging: para mais informações sobre essa opção, consulte Exportar Google Cloud registros.
   • Metadados do recurso do Cloud: para mais informações sobre essa opção, consulte Exportar Google Cloud metadados do recurso.
   • Descobertas do Security Command Center Premium: para mais informações sobre essa opção, consulte Exportar descobertas do Security Command Center Premium.

9. Acesse a guia Configurações do filtro de exportação.

10. Na seção Configurações do filtro de exportação do cliente, configure filtros de exportação para personalizar os dados do Cloud Logging enviados ao Google SecOps. Consulte Tipos de registroGoogle Cloud com suporte para exportação.

11. Para exportar dados da Proteção de Dados Sensíveis (antes chamada de dados de prevenção contra perda de dados do Google Cloud) para o Google SecOps, consulte Exportar dados da Proteção de Dados Sensíveis.

Exportar Google Cloud registros

Depois de ativar o Cloud Logging, você poderá exportar dados de registro dos tipos de registroGoogle Cloud compatíveis para sua instância do Google SecOps.

Para exportar Google Cloud registros para o Google SecOps, defina o botão Ativar registros do Cloud como Ativado.

Tipos de registro com suporte para exportação

É possível personalizar o filtro de exportação dos registros para exportação para o Google SecOps. Inclua ou exclua tipos de registro adicionando ou removendo filtros de exportação compatíveis listados na lista a seguir:

É possível exportar os seguintes tipos de registro Google Cloud para sua instância do Google SecOps. A lista a seguir está organizada por tipo de registro e rótulo de transferência do Google SecOps correspondente:

• Registros de auditoria do Cloud (GCP_CLOUDAUDIT):

  Isso inclui: registros de atividade do administrador, evento do sistema, transparência no acesso e política negada.

  • log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
  • log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Registros do Cloud NAT (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Registros do Cloud DNS (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)

• Registros do Cloud Next Generation Firewall (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing.

  • log_id("requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

Personalizar as configurações do filtro de exportação

Por padrão, os registros de auditoria do Cloud (atividade do administrador e evento do sistema) e do Cloud DNS são enviados à sua instância do Google SecOps. No entanto, é possível personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros.

Para definir um filtro personalizado para seus registros, faça o seguinte:

1. Identifique os registros do seu filtro personalizado usando a ferramenta de escopo de registro.

2. Na seção Filtro de registro gerado automaticamente que segue a ferramenta de escopo de registro, copie o código do filtro de registro personalizado gerado.

3. Acesse a página Google SecOps no console do Google Cloud e selecione um projeto.
   Acesse a página Google SecOps
   

4. Inicie o Logs Explorer usando o link na guia Export Filter Settings.

5. Copie a nova consulta para o campo Consulta e clique em Executar consulta para testar.

6. Copie a nova consulta para o campo Consulta no Explorador de registros e clique em Executar consulta para testar.

7. Verifique se os registros correspondentes exibidos na Análise de registros são exatamente aqueles que você pretende exportar para o Google SecOps. Quando o filtro estiver pronto, copie-o para a seção Configurações do filtro de exportação personalizada do Google SecOps.

8. Volte para a seção Configurações do filtro de exportação personalizada na página Google SecOps.

9. Clique no ícone Editar no campo Exportar filtro e cole o filtro copiado no campo.

10. Clique em Salvar.

    • Se a seguinte mensagem de erro aparecer: "O filtro fornecido pode permitir tipos de registro não compatíveis", talvez um tipo de registro não compatível esteja incluído no filtro de exportação. Remova o tipo de registro sem suporte do filtro de exportação. Inclua apenas os tipos de registro listados em: Google Cloud tipos de registro com suporte para exportação.

    • Se a gravação for bem-sucedida, o novo filtro personalizado vai funcionar em todos os novos registros exportados para sua instância do Google SecOps.

    • Opcional: para redefinir o filtro de exportação para a versão padrão, salve uma cópia do filtro personalizado e clique em Redefinir para o padrão.

Ajustar os filtros dos Registros de auditoria do Cloud

Os registros de acesso a dados gravados pelos Registros de auditoria do Cloud podem produzir um grande volume de dados sem muito valor de detecção de ameaças. Se você optar por enviar esses registros ao Google SecOps, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui eventos de alto volume, como operações de leitura e lista do Cloud Storage e do Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para mais informações sobre como ajustar os registros de acesso a dados gerados pelos registros de auditoria do Cloud, consulte Gerenciar o volume de registros de auditoria de acesso a dados.

Exemplos de filtro de exportação

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir determinados tipos de registros da exportação para sua instância do Google SecOps.

Exemplo de filtro de exportação: incluir outros tipos de registro

O filtro de exportação a seguir exporta os registros de transparência no acesso, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação: incluir outros registros de um projeto específico

O filtro de exportação a seguir exporta os registros de transparência no acesso de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: incluir outros registros de uma pasta específica

O filtro de exportação a seguir exporta os registros de transparência no acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a Google Cloud organização, exceto um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadados do recurso Google Cloud

É possível exportar os metadados de Google Cloud recursos do Cloud Asset Inventory para o Google SecOps. Esses metadados são extraídos do Inventário de recursos do Cloud e consistem em informações sobre seus recursos, recursos e identidades, incluindo:

• Ambiente
• Local
• Zona
• Modelos de hardware
• Relações de controle de acesso entre recursos e identidades

Os seguintes tipos de metadados de Google Cloud ativos serão exportados para sua instância do Google SecOps:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Confira a seguir exemplos de metadados de Google Cloud recursos:

• Nome do aplicativo — Google-iamSample/0.1
• Nome do projeto — projects/my-project

Para exportar Google Cloud metadados de recursos para o Google SecOps, ative a opção Metadados de recursos do Cloud para Ativado.

Para saber mais sobre os analisadores de contexto, consulte Analisadores de contexto do Google SecOps.

Exportar descobertas do Security Command Center

É possível exportar as descobertas da detecção de ameaça a eventos do Security Command Center Premium e todas as outras descobertas para o Google SecOps.

Para mais informações sobre as descobertas do ETD, consulte Visão geral do Event Threat Detection.

Para exportar as descobertas do Security Command Center Premium para o Google SecOps, ative a opção Descobertas premium do Security Command Center.

Exportar dados da Proteção de dados sensíveis

Você pode exportar seus dados da Proteção de Dados Sensíveis para o Google SecOps.

Para importar metadados de recursos de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

1. Ative a ingestão de dados Google Cloud concluindo a seção anterior deste documento.
2. Configure a Proteção de Dados Sensíveis para criar perfis de dados.
3. Defina a configuração da verificação para publicar perfis de dados no Google SecOps.

Consulte a documentação da Proteção de dados confidenciais para informações detalhadas sobre como criar perfis de dados para dados do BigQuery.

Desativar a ingestão de dados do Google Cloud

As etapas para desativar a ingestão direta de dados de Google Cloud são diferentes dependendo da configuração do Google SecOps. Escolha uma destas opções:

• Se a sua instância do Google SecOps estiver vinculada a um projeto que você possui e gerencia, siga estas etapas:

  1. Selecione o projeto vinculado à sua instância do Google SecOps.
  2. No console do Google Cloud, acesse a guia Ingestão em Google SecOps.
     Acesse a página Google SecOps
  3. No menu Organização, selecione a organização de onde os registros serão exportados.
  4. Defina a opção Enviar dados para as Operações de segurança do Google como Desativado.
  5. Se você configurou a exportação de dados de várias organizações e quer desativar também, siga estas etapas para cada uma delas.

• Se a sua instância do Google SecOps estiver vinculada a um projeto que Google Cloud é de propriedade e gerenciamento, siga estas etapas:

  1. Acesse a página Google SecOps > Ingestão no console do Google Cloud.
     Acesse a página Google SecOps
  2. No menu de recursos, selecione a organização vinculada à sua instância do Google SecOps e de onde você está ingerindo dados.
  3. Marque a caixa Quero desconectar o Google SecOps e parar de enviar Google Cloud registros para o Google SecOps.
  4. Clique em Desconectar do Google SecOps.

Controlar a taxa de transferência

Quando a taxa de ingestão de dados de um locatário atinge um determinado limite, as operações de segurança do Google restringem a taxa de ingestão de novos feeds de dados para evitar que uma origem com uma taxa de ingestão alta afete a taxa de outra origem de dados. Nesse caso, há um atraso, mas nenhum dado é perdido. O volume de transferência e o histórico de uso do locatário determinam o limite.

Para solicitar um aumento do limite de taxa, entre em contato com o Cloud Customer Care.

Solução de problemas

• Se as relações entre recursos e identidades estiverem ausentes na sua instância do Google SecOps, desative e reative a ingestão direta de dados de registro para o Google SecOps.
• Os metadados do recursoGoogle Cloud são processados periodicamente no Google SecOps. Aguarde várias horas para que as mudanças apareçam na interface e nas APIs do Google SecOps.

• Ao adicionar um tipo de registro ao filtro de exportação, você pode receber esta mensagem: "O filtro fornecido pode permitir tipos de registro não compatíveis".

  Solução alternativa: inclua apenas os tipos de registro no filtro de exportação que aparecem na lista a seguir: Google Cloud tipos de registro com suporte para exportação.

A seguir

• Abra sua instância do Google SecOps usando o URL específico do cliente fornecido pelo seu representante do Google SecOps.
• Saiba mais sobre o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.