Esta página foi traduzida pela API Cloud Translation.

Ingerir dados do Google Cloud para o Google Security Operations

Nesta página, mostramos como ativar e desativar a ingestão de dados do Google Cloud às Operações de segurança do Google. As Operações de segurança do Google permitem armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa, meses ou mais de acordo com seu período de armazenamento de dados.

Visão geral

Há duas opções para enviar dados do Google Cloud para as Operações de segurança do Google. A escolha da opção correta depende do tipo de registro.

Opção 1: ingestão direta

Um filtro especial do Cloud Logging pode ser configurado no Google Cloud para enviar tipos de registro específicos às Operações de segurança do Google em tempo real. Esses registros são gerados pelos serviços do Google Cloud.

As Operações de segurança do Google recebem registros mesmo que estejam excluídos no nível do projeto no Google Cloud, mas incluídas no filtro de exportação de registros e no nível da o Google Cloud Logging. Para excluir registros das Operações de segurança do Google, é necessário atualizar o filtro de exportação de registros das Operações de segurança do Google no Google Cloud.

Os tipos de registro disponíveis incluem:

Registros de auditoria do Cloud
Cloud NAT
Cloud DNS
Firewall de Próxima Geração do Cloud
Sistema de detecção de intrusões do Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos do Windows
Syslog do Linux
Linux Sysmon
Zeek
Google Kubernetes Engine
Daemon de auditoria (auditado)
Apigee
reCAPTCHA Enterprise
Registros do Cloud Run (GCP_RUN)
Firewall de Próxima Geração do Cloud

Para coletar registros do Compute Engine ou de aplicativos (como Apache, Nginx ou IIS), use a Opção 2. Além disso, abra um tíquete de suporte para o Google Security Operations para dar feedback. para consideração futura como um tipo de registro usando a Opção 1.

Para filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para as Operações de segurança do Google.

Metadados adicionais do Google Cloud a serem usados como contexto para fins de enriquecimento também podem ser enviados às Operações de segurança do Google. Consulte Como exportar metadados de recursos do Google Cloud para o Google Security Operations para mais detalhes.

Opção 2: Google Cloud Storage

O Cloud Logging pode encaminhar registros para Cloud Storage para ser buscado pelas Operações de segurança do Google de maneira programada.

Para detalhes sobre como configurar o Cloud Storage para o Google Security Operations, consulte Gerenciamento de feed: Cloud Storage.

Antes de começar

Antes de ingerir dados do Google Cloud na sua instância do Google Security Operations, conclua as etapas a seguir:

Entre em contato com seu representante de Operações de Segurança do Google para ter acesso único e códigos necessários para ingerir seus dados do Google Cloud.
Conceda os seguintes papéis do IAM necessários para você acessar a seção "Operações de segurança do Google":
- Admin de serviço do Chronicle (roles/chroniclesm.admin): papel do IAM para execução todas as atividades.
- Chronicle Service Viewer (roles/chroniclesm.viewer): papel do IAM para ler apenas. o estado de ingestão.
- Editor administrador da Central de segurança (roles/securitycenter.adminEditor): necessário para permitir a ingestão de Cloud Asset Metadata.
Se você planeja ativar os metadados dos recursos do Cloud, também precisa ativar o nível Standard do Security Command Center ou o nível Premium do Google Cloud. Consulte Ativar o Security Command Center para uma organização. para mais informações.

Conceder papéis do IAM

É possível conceder os papéis do IAM necessários usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o console do Google Cloud, conclua as etapas a seguir:

Faça login na organização do Google Cloud que você quer acessar e acesse na tela do IAM usando Produtos > IAM e Administrador > IAM.
Na tela do IAM, selecione o usuário e clique em Editar membro.

Observação: se você não estiver na visualização "Organização" do IAM, o botão Editar membro está desativada e você precisa navegar até a tela do IAM da organização.
Na tela "Editar permissões", clique em Adicionar outro papel e pesquise "Google Security Operations". para encontrar os papéis do IAM.
Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, conclua as etapas a seguir:

Verifique se você fez login na organização correta. Para verificar isso, execute o comando gcloud init.
Para conceder o papel do IAM de administrador do serviço do Chronicle usando gcloud, faça o seguinte: execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização.
- USER_EMAIL: o endereço de e-mail do usuário administrador.
Para conceder o papel do IAM de Leitor do serviço de operações de segurança do Google usando gcloud, faça o seguinte: execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```

Para conceder o papel de Editor administrador da Central de segurança usando gcloud: execute o seguinte comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Ativar a ingestão de dados do Google Cloud

Os dados do Google Cloud são ingeridos usando uma API interna particular entre o Security Command Center e Operações de segurança do Google. A ingestão nunca chega à rede externa e nunca usa endereços IP. O Google acessa os registros do Google Cloud diretamente na autenticação feita com o código de uso único fornecido pelas Operações de Segurança do Google do Security Command Center.

Permitir a ingestão de dados da sua organização do Google Cloud para as operações de segurança do Google instância, conclua as seguintes etapas:

Acesse a página "Google Security Operations" no console do Google Cloud.
Acessar a página "Operações de segurança do Google"
Insira seu código de acesso único no código de acesso único das Operações de segurança do Google. .
Para consentir com o uso das Operações de segurança do Google, marque a caixa de seleção Concordo com os termos e condições de uso dos meus dados do Google Cloud pelo Chronicle.
Clique em Connect Google Security Operations.

Seus dados do Google Cloud serão enviados para as Operações de segurança do Google. Você pode usar os recursos de análise do Google Security Operations para investigar problemas relacionados à segurança. As seções a seguir descrevem maneiras de ajustar os tipos de dados do Google Cloud que serão enviados às Operações de segurança do Google

Exportar registros do Google Cloud para o Google Security Operations

É possível exportar os seguintes tipos de dados do Google Cloud para sua instância do Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WinEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORIA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajuste a expressão regular do filtro de registro conforme necessário
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar seus registros do Google Cloud para o Google Security Operations, defina os registros do Google Cloud alterne para "ativado". Todos os tipos de registro do Google Cloud listados acima serão exportados à instância do Google Security Operations.

Para conferir as práticas recomendadas sobre quais filtros de registro usar, consulte Análise de registros de segurança no Google Cloud.

Exportar configurações do filtro

Por padrão, seus Registros de auditoria do Cloud (atividade do administrador e evento do sistema) e o Cloud DNS registros são enviados para sua conta de Operações de segurança do Google. No entanto, é possível personalizar filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é com base na linguagem de consulta do Google Logging.

Para definir um filtro personalizado para seus registros, conclua as etapas a seguir:

Para definir o filtro, crie um filtro personalizado para os registros usando o recurso de geração de registros linguagem de consulta. A documentação a seguir descreve como definir esse tipo de filtro: /logging/docs/view/logging-query-language
Acesse a Análise de registros usando o link fornecido na guia Exportar configurações do filtro, copie a nova consulta no campo Consulta e clique em Executar consulta para testá-la.

Verifique se os registros correspondentes exibidos na Análise de registros são exatamente os que você pretende exportar para as Operações de segurança do Google.

Conclua as etapas a seguir na guia Exportar configurações do filtro:

Quando o filtro estiver pronto, clique no ícone de edição e cole-o no campo Filtro de exportação.
Clique em Salvar filtro personalizado. Seu novo filtro personalizado funciona com todos os novos registros exportados para sua conta de Operações de segurança do Google.
Para redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do filtro personalizado.

Ajustar filtros do registro de auditoria do Cloud

Os registros de acesso a dados de auditoria do Cloud podem produzir um grande volume de registros o valor da detecção de ameaças. Se você optar por enviá-los para as Operações de segurança do Google, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui alto volume eventos, como as operações de leitura e lista do Cloud Storage e do Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para mais informações sobre como ajustar os registros de acesso a dados de auditoria do Cloud, clique aqui.

Exportar exemplos de filtros

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir que certos tipos de registros sejam exportados para sua conta de Operações de Segurança do Google.

Exemplo de filtro de exportação 1: inclua outros tipos de registro

O filtro de exportação a seguir exporta registros de transparência no acesso além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação 2: inclua outros registros de um projeto específico

O filtro de exportação a seguir exporta registros de transparência no acesso de um projeto específico. além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 3: inclua outros registros de uma pasta específica

O filtro de exportação a seguir exporta registros de transparência no acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 4: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de todo o Google Cloud organização, exceto em um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadados de recursos do Google Cloud para o Google Security Operations

É possível exportar os metadados do recurso do Google Cloud para as Operações de segurança do Google. Os metadados do recurso são extraídos do Inventário de recursos do Google Cloud e consistem no informações sobre seus ativos, recursos e identidades, incluindo o seguinte:

Ambiente
Local
Zona
Modelos de hardware
Relações de controle de acesso entre recursos e identidades

Confira a seguir os tipos específicos de metadados dos recursos do Google Cloud que exportados para sua conta de Operações de Segurança do Google:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Confira a seguir alguns exemplos de metadados do recurso do Google Cloud:

Nome do aplicativo — Google-iamSample/0.1
Nome do projeto — projects/my-project

Exemplos de campos de registro de contexto do Resource Manager incluem assetType, resource.data.name, e resource.version.

Para mais informações sobre os tipos de recursos, consulte os tipos de recursos compatíveis com o Inventário de recursos do Cloud.

Para exportar os metadados do recurso do Google Cloud para o Google Security Operations, defina o Alterne o botão Metadados dos recursos do Cloud para "Ativado".

Referência de mapeamento de campo e tipos de recursos compatíveis

A tabela a seguir lista os analisadores de contexto compatíveis com as Operações de segurança do Google. rótulo de ingestão correspondente e os tipos de recursos compatíveis.

Para visualizar a documentação de referência de mapeamento do analisador de contexto, clique no nome do analisador de contexto correspondente na tabela.

Nome do serviço	Rótulo de ingestão	Tipos de recursos compatíveis
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Exportar as descobertas do Security Command Center para as Operações de segurança do Google

É possível exportar o Security Command Center Premium Event Threat Detection (ETD) descobertas e todas as outras descobertas às Operações de segurança do Google.

Para mais informações sobre as descobertas de detecção de ameaças a eventos, consulte a visão geral do Security Command Center.

Para exportar suas descobertas de nível Premium do Security Command Center para as Operações de segurança do Google, defina o Ative a opção Descobertas Premium do Security Command Center.

Exportar dados de proteção de dados sensíveis para as Operações de segurança do Google

Para ingerir metadados do recurso de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

Para ativar a ingestão de dados do Google Cloud, conclua a seção anterior deste documento.
Configurar a proteção de dados sensíveis para dados de perfil.
Definir a configuração da verificação para publicar perfis de dados às Operações de segurança do Google.

Consulte a documentação da Proteção de Dados Sensíveis para informações detalhadas sobre como criar perfis de dados para dados do BigQuery.

Desativar a ingestão de dados do Google Cloud

Marque a caixa Quero desconectar o Google Security Operations e parar de enviar registros do Google Cloud para o Google Security Operations.
Clique em Desconectar o Google Security Operations.

Solução de problemas

Se as relações entre recursos e identidades estiverem ausentes em seu Sistema de Operações de segurança do Google, defina a opção Exportar registros da nuvem para Operações de segurança do Google desative e ative novamente.
Os metadados do recurso são ingeridos periodicamente nas Operações de segurança do Google. Aguarde algumas horas para que as alterações fiquem visíveis na interface e nas APIs das Operações de segurança do Google.

A seguir

Abra sua conta do Google Security Operations usando o URL específico do cliente fornecido pelo seu representante de operações de segurança do Google.
Saiba mais sobre as Google Security Operations.