Se usó la API de Cloud Translation para traducir esta página.

Transfiere datos de Google Cloud a Google Security Operations

En esta página, se muestra cómo inhabilitar y habilitar la transferencia de tus datos de Google Cloud a Google Security Operations. Google Security Operations te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa con una antigüedad de meses o más, según el período de retención de datos.

Descripción general

Hay dos opciones para enviar datos de Google Cloud a Google Security Operations. Elegir la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google Security Operations en tiempo real. Los servicios de Google Cloud generan estos registros.

Google Security Operations recibe registros incluso si se excluyen a nivel de proyecto en Google Cloud, pero se incluyen en el filtro de exportación de registros y en los registros de Google Cloud a nivel de la organización. Para excluir registros de Google Security Operations, debes actualizar el filtro de exportación de registros de Google Security Operations en Google Cloud.

Los tipos de registros disponibles incluyen los siguientes:

Registros de auditoría de Cloud
Cloud NAT
Cloud DNS
Cloud Next Generation Firewall
Sistema de detección de intrusiones de Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos de Windows
syslog de Linux
Sysmon de Linux
Zeek
Google Kubernetes Engine
Daemon de auditoría (auditoría)
Apigee
reCAPTCHA Enterprise
Registros de Cloud Run (GCP_RUN)
Cloud Next Generation Firewall

Para recopilar registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, crea un ticket de asistencia con Google Security Operations para proporcionar comentarios a fin de que sea posible considerar la compatibilidad como un tipo de registro con la opción 1.

Para obtener filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a Google Security Operations.

Los metadatos adicionales de Google Cloud que se usarán como contexto para fines de enriquecimiento también se pueden enviar a Google Security Operations. Consulta Exporta metadatos de recursos de Google Cloud a Google Security Operations para obtener más detalles.

Opción 2: Google Cloud Storage

Cloud Logging puede enrutar los registros a Cloud Storage para que Google Security Operations los recupere de manera programada.

Si quieres obtener más información sobre cómo configurar Cloud Storage para Google Security Operations, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de transferir los datos de Google Cloud a tu instancia de Google Security Operations, debes completar los siguientes pasos:

Comunícate con tu representante de Google Security Operations y obtén el código de acceso único que necesitas para transferir tus datos de Google Cloud.
Otorga las siguientes funciones de IAM necesarias para acceder a la sección de Google Security Operations:
- Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es la función de IAM para realizar todas las actividades.
- Visualizador del servicio de Chronicle (roles/chroniclesm.viewer): Es la función de IAM para ver solo el estado de transferencia.
- Editor administrador del centro de seguridad (roles/securitycenter.adminEditor): Se requiere para habilitar la transferencia de metadatos de Cloud Asset.
Si planeas habilitar Cloud Asset Metadata, también debes habilitar el servicio de Google Cloud del nivel Estándar de Security Command Center o el nivel Premium de Security Command Center. Si deseas obtener más información, consulta Activa Security Command Center para una organización.

Asigna roles de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

Accede a la organización de Google Cloud a la que deseas conectarte y navega a la pantalla de IAM con Productos > IAM y administración > IAM.
En la pantalla de IAM, selecciona el usuario y haz clic en Editar miembro.

Nota: Si no estás en la vista Organización de IAM, el botón Editar miembro está inhabilitado y debes navegar a la pantalla de IAM de la organización.
En la pantalla Editar permisos, haz clic en Agregar otro rol y busca Google Security Operations para encontrar los roles de IAM.
Una vez que hayas asignado los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

Asegúrate de que accediste a la organización correcta. Verifica esto con la ejecución del comando gcloud init.
Para otorgar el rol de IAM de administrador del servicio de Chronicle con gcloud, ejecuta el siguiente comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Reemplaza lo siguiente:
- ORGANIZATION_ID: Es el ID numérico de la organización.
- USER_EMAIL: Es la dirección de correo electrónico del usuario administrador.

Para otorgar el rol de IAM de visualizador de servicios de seguridad de Google mediante gcloud, ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Para otorgar la función de Editor administrador del centro de seguridad mediante gcloud, ejecuta el siguiente comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Habilita la transferencia de datos de Google Cloud

Los datos de Google Cloud se transfieren a través de una API interna privada entre Security Command Center y Google Security Operations. La transferencia nunca llega a la red externa ni usa direcciones IP. Google accede a los registros de Google Cloud de forma directa en función de la autenticación realizada con el código único que proporciona Google Security Operations para Security Command Center.

Para habilitar la transferencia de datos de tu organización de Google Cloud a tu instancia de Google Security Operations, sigue estos pasos:

Navega a la página Google Security Operations de la consola de Google Cloud.
Ir a la página Google Security Operations
Ingresa tu código de acceso de uso único en el campo Código de acceso único de Google Security Operations.
Para consentir el uso de Google Security Operations, marca la casilla Acepto los términos y condiciones del uso de Chronicle de mis datos de Google Cloud.
Haz clic en Conectar Google Security Operations.

Ahora tus datos de Google Cloud se enviarán a Google Security Operations. Puedes usar las funciones de análisis de Google Security Operations para investigar problemas relacionados con la seguridad. En las siguientes secciones, se describen formas de ajustar los tipos de datos de Google Cloud que se enviarán a Google Security Operations

Exporta registros de Google Cloud a Google Security Operations

Puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado mediante el filtro predeterminado)
- log_id("cloudaudit.googleapis.com/system_event") (exportado mediante el filtro predeterminado)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Esto incluye registros de Google Cloud Armor y Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORÍA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajusta la expresión regular del filtro de registros según sea necesario
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar tus registros de Google Cloud a Google Security Operations, habilita el botón de activación de registros de Google Cloud. Todos los tipos de registros de Google Cloud mencionados anteriormente se exportarán a tu instancia de Google Security Operations.

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Análisis de registros de seguridad en Google Cloud.

Exportar configuración de filtros

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y los registros de Cloud DNS se envían a tu cuenta de Google Security Operations. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de Google Logging.

A fin de definir un filtro personalizado para tus registros, completa los siguientes pasos:

Define tu filtro mediante la creación de un filtro personalizado para tus registros con el lenguaje de consulta de Logging. En la siguiente documentación, se describe cómo definir este tipo de filtro: /logging/docs/view/logging-query-language
Navega al Explorador de registros con el vínculo proporcionado en la pestaña Export Filter Settings, copia tu consulta nueva en el campo Query y haz clic en Run Query para probarla.

Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que quieres exportar a Google Security Operations.

Siga estos pasos en la pestaña Export Filter Settings:

Cuando el filtro esté listo, haz clic en el ícono de edición y pega el filtro en el campo Exportar filtro.
Haz clic en Guardar filtro personalizado. El nuevo filtro personalizado funciona con todos los registros nuevos exportados a tu cuenta de Google Security Operations.
Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer la configuración predeterminada. Primero, asegúrese de guardar una copia de su filtro personalizado.

Ajusta los filtros del Registro de auditoría de Cloud

Los registros de acceso a los datos de auditoría de Cloud pueden producir un gran volumen de registros sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google Security Operations, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de gran volumen, como las operaciones de lectura y enumeración de Cloud Storage y Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre el ajuste de los registros de acceso a los datos de auditoría de Cloud, consulta aquí.

Exportar ejemplos de filtros

En los siguientes ejemplos de filtros de exportación, se ilustra cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu cuenta de Google Security Operations.

Ejemplo 1 de filtro de exportación: incluye tipos de registro adicionales

El siguiente filtro de exportación exporta registros de Transparencia de acceso además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo 2 de filtro de exportación: incluye registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo 3 de filtro de exportación: incluye registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta registros de transparencia de acceso desde una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo 4 de filtro de exportación: Excluye los registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la organización de Google Cloud, excepto de un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporta metadatos de recursos de Google Cloud a Google Security Operations

Puedes exportar los metadatos de tus recursos de Google Cloud a Google Security Operations. Estos metadatos de activos se extraen de tu inventario de recursos de Google Cloud y consisten en información sobre tus activos, identidades y recursos, incluida la siguiente:

Entorno
Ubicación
Zona
Modelos de hardware
Relaciones de control de acceso entre identidades y recursos

A continuación, se muestran los tipos específicos de metadatos de recursos de Google Cloud que se exportarán a tu cuenta de Google Security Operations:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Los siguientes son algunos ejemplos de metadatos de recursos de Google Cloud:

Nombre de la aplicación: Google-iamSample/0.1
Nombre del proyecto: projects/my-project

Algunos ejemplos de campos de registro de contexto de Resource Manager incluyen assetType, resource.data.name y resource.version.

Para obtener más información sobre los tipos de recursos, consulta Tipos de recursos compatibles con Cloud Asset Inventory.

Para exportar los metadatos del recurso de Google Cloud a Google Security Operations, habilita el botón de activación Cloud Asset Metadata.

Referencia de la asignación de campos y tipos de recursos compatibles

En la siguiente tabla, se enumeran los analizadores de contexto compatibles con Google Security Operations, la etiqueta de transferencia correspondiente y los tipos de recursos compatibles.

Para ver la documentación de referencia de asignación del analizador de contexto, haz clic en el nombre del analizador de contexto correspondiente en la tabla.

Nombre del servicio	Etiqueta de transferencia	Tipos de recursos admitidos
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Exporta los resultados de Security Command Center a Google Security Operations

Puedes exportar los resultados de la Detección de eventos de amenazas (ETD) Premium de Security Command Center y todos los demás resultados a Google Security Operations.

Para obtener más información sobre los resultados de Event Threat Detection, consulta la descripción general de Security Command Center.

Para exportar los resultados del nivel Premium de Security Command Center a Google Security Operations, habilita el botón de activación Hallazgos de Security Command Center Premium.

Exporta datos de Sensitive Data Protection a Google Security Operations

Para transferir los metadatos del activo de protección de datos sensibles (DLP_CONTEXT), sigue estos pasos:

Completa la sección anterior de este documento para habilitar la transferencia de datos de Google Cloud.
Configura la protección de datos sensibles para crear perfiles de datos.
Establece la configuración de análisis para publicar perfiles de datos en Google Security Operations.

Consulta la documentación sobre la protección de datos sensibles si deseas obtener información detallada sobre cómo crear perfiles de datos para los datos de BigQuery.

Inhabilitar la transferencia de datos de Google Cloud

Marca la casilla Quiero desconectar Google Security Operations y dejar de enviar registros de Google Cloud a Google Security Operations.
Haz clic en Desconectar Google Security Operations.

Soluciona problemas

Si las relaciones entre identidades y recursos no están presentes en el sistema de Google Security Operations, desactiva el botón de activación Export Cloud logs to Google Security Operations y, luego, vuelve a habilitarlo.
Los metadatos de los activos se transfieren periódicamente a Google Security Operations. Espera varias horas para que los cambios sean visibles en la IU y las APIs de Google Security Operations.

¿Qué sigue?

Abre tu cuenta de Google Security Operations con la URL específica del cliente que te proporcionó tu representante de Google Security Operations.
Obtén más información sobre Google Security Operations.