Cómo transferir datos de Google Cloud a Google Security Operations

En esta página, se muestra cómo habilitar y deshabilitar la transferencia de tus datos de Google Cloud a Google Security Operations. Google Security Operations te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa durante meses o más, de acuerdo con tu período de retención de datos.

Descripción general

Existen dos opciones para enviar datos de Google Cloud a Google Security Operations. La elección de la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google Security Operations en tiempo real. Los servicios de Google Cloud generan estos registros.

Entre los tipos de registro disponibles, se incluyen los siguientes:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Sistema de detección de intrusiones de Cloud
• Cloud Load Balancing
• Cloud SQL
• Registros de eventos de Windows
• Syslog de Linux
• Sysmon de Linux
• Zeek
• Google Kubernetes Engine
• Daemon de auditoría (auditd)
• Apigee
• reCAPTCHA Enterprise
• Registros de Cloud Run (GCP_RUN)

Para recopilar registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, envía un ticket de asistencia a Google Security Operations para proporcionar comentarios que se tengan en cuenta en el futuro para admitir el uso de la transferencia directa (opción 1).

Para obtener filtros de registro específicos y más detalles sobre la transferencia, consulta Exporta registros de Google Cloud a Google Security Operations.

También puedes enviar metadatos de recursos de Google Cloud que se usan para enriquecer el contexto. Consulta Exporta metadatos de los recursos de Google Cloud a Google Security Operations para obtener más información.

Opción 2: Google Cloud Storage

Cloud Logging puede enrutar registros a Cloud Storage para que Google Security Operations los recupere de forma programada.

Para obtener detalles sobre cómo configurar Cloud Storage para Google Security Operations, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de transferir datos de Google Cloud a una instancia de Google Security Operations, debes completar los siguientes pasos:

1. Otorga los siguientes roles de IAM necesarios para acceder a la sección de Operaciones de seguridad de Google:

   • Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es el rol de IAM para realizar todas las actividades.
   • Visualizador de servicios de Chronicle (roles/chroniclesm.viewer): Es el rol de IAM para ver solo el estado de la transferencia.
   • Editor administrador de Security Center (roles/securitycenter.adminEditor): Obligatorio para habilitar la transferencia de metadatos de recursos de Cloud.

2. Si planeas habilitar los metadatos de los recursos de Cloud, debes incorporar la organización a Security Command Center. Consulta Descripción general de la activación a nivel de la organización para obtener más información.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

1. Accede a la organización de Google Cloud a la que deseas conectarte y navega hasta la pantalla de IAM en Productos > IAM y administración > IAM.

2. En la pantalla IAM, selecciona el usuario y haz clic en Editar miembro.

3. En la pantalla Editar permisos, haz clic en Agregar otra función y busca Operaciones de seguridad de Google para encontrar los roles de IAM.

4. Una vez que hayas asignado los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

1. Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.

2. Para otorgar el rol de administrador de IAM de Chronicle Service con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: El ID numérico de la organización.
   • USER_EMAIL: la dirección de correo electrónico del usuario.

3. Para otorgar el rol de IAM de Visualizador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Para otorgar el rol de editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Habilita la transferencia directa desde Google Cloud

Los pasos para habilitar la transferencia directa desde Google Cloud son diferentes según la propiedad del proyecto al que está vinculada tu instancia de Google Security Operations.

• Si está vinculado a un proyecto que posees y administras, sigue los pasos que se indican en Cómo configurar la transferencia cuando el cliente es propietario del proyecto. Este enfoque te permite configurar la transferencia de datos desde más de una organización de Google Cloud.

• Si está vinculado a un proyecto que Google Cloud posee y administra, sigue los pasos que se indican en Cómo configurar la transferencia cuando el proyecto es propiedad de Google Cloud.

Después de configurar la transferencia directa, tus datos de Google Cloud se envían a Google Security Operations. Puedes usar las funciones de análisis de Operaciones de seguridad de Google para investigar problemas relacionados con la seguridad.

Cómo configurar la transferencia cuando el cliente es propietario del proyecto

Sigue estos pasos si eres propietario del proyecto de Google Cloud.

Puedes configurar la transferencia directa desde varias organizaciones con la misma página de configuración a nivel del proyecto. Sigue estos pasos para crear una configuración nueva y editar una configuración existente.

Cuando migras una instancia existente de Google Security Operations para que se vincule a un proyecto que te pertenece y si se configuró la transferencia directa antes de la migración, también se migra la configuración de transferencia directa.

1. Navega a la página Google SecOps > Configuración de transferencia en la consola de Google Cloud.
   Ve a la página de Google SecOps
2. Selecciona el proyecto vinculado a tu instancia de Google Security Operations.

3. En el menú Organización, selecciona la organización desde la que se exportarán los registros. En el menú, se muestran las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no están vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a una instancia diferente de Google SecOps.

   

4. En la sección Configuración de transferencia de Google Cloud, haz clic en el botón de activación Enviar datos a Google Security Operations para habilitar el envío de registros a Google Security Operations.

5. Selecciona una o más de las siguientes opciones para definir el tipo de datos que se envían a Google Security Operations:

   • Cloud Logging de Google: Para obtener más información sobre esta opción, consulta Cómo exportar registros de Google Cloud.
   • Metadatos de recursos de Cloud: Para obtener más información sobre esta opción, consulta Cómo exportar metadatos de recursos de Google Cloud.
   • Resultados de Security Center Premium: Para obtener más información sobre esta opción, consulta Cómo exportar resultados de Security Center Premium.

6. En la sección Configuración de filtros de exportación de clientes, define filtros de exportación que personalicen los datos de Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud para conocer los tipos de datos de registro que exportas.

7. Para transferir registros de una organización adicional a la misma instancia de Google Security Operations, selecciona la organización en el menú Organization y, luego, repite los pasos para definir el tipo de datos que se exportarán y los filtros de exportación. Verás varias organizaciones en el menú Organización.

8. Para exportar datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations, consulta Exporta datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations.

Configura la transferencia cuando un proyecto es propiedad de Google Cloud

Si Google Cloud es el propietario del proyecto, sigue estos pasos para configurar la transferencia directa desde tu organización de Google Cloud a tu instancia de Google Security Operations:

1. Navega a la pestaña Google SecOps > Descripción general > Transferencia en la consola de Google Cloud. Ve a la pestaña Transferencia de Google SecOps
2. Haz clic en el botón Administra la configuración de transferencia de la organización.
3. Si ves el mensaje Page not viewable for projects., selecciona una organización y, luego, haz clic en Seleccionar.
4. Ingresa tu código de acceso único en el campo Código de acceso único de Google Security Operations.
5. Marca la casilla titulada Doy mi consentimiento a los términos y condiciones del uso que hace Google Security Operations de mis datos de Google Cloud.
6. Haz clic en Conectar Google SecOps.
7. Ve a la pestaña Configuración de transferencia global de la organización.

8. Habilita una o más de las siguientes opciones para seleccionar el tipo de datos que se enviarán:

   • Google Cloud Logging: Para obtener más información sobre esta opción, consulta Cómo exportar registros de Google Cloud.
   • Metadatos de recursos de Cloud. Para obtener más información sobre esta opción, consulta Cómo exportar metadatos de recursos de Google Cloud.
   • Resultados de Security Center Premium: Para obtener más información sobre esta opción, consulta Cómo exportar resultados de Security Center Premium.

9. Ve a la pestaña Exporta la configuración de filtros.

10. En la sección Configuración de filtros de exportación del cliente, define filtros de exportación que personalicen los datos de Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud para ver los tipos de datos de registro que exportas.

11. Para exportar datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations, consulta Exporta datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations.

Exporta registros de Google Cloud

Después de habilitar Cloud Logging, puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de Google Security Operations, enumerados por tipo de registro y etiqueta de transferencia de Google Security Operations:

• Registros de auditoría de Cloud(GCP_CLOUDAUDIT): Incluye los registros de Actividad del administrador, Eventos del sistema, Transparencia de acceso y Política denegada.
  • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Registros de Cloud NAT(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Registros de Cloud DNS (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
• Registros de Cloud Next Generation Firewall(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing.
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar registros de Google Cloud a Google Security Operations, establece el botón de activación Habilitar registros de Cloud en Habilitado. Los tipos de registros compatibles con Google Cloud se pueden exportar a tu instancia de Google Security Operations.

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Estadísticas de registros de seguridad en Google Cloud.

Exporta la configuración de filtros

En las siguientes secciones, se proporciona información sobre los filtros de exportación.

Configuración del filtro de exportación personalizado

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y los registros de Cloud DNS se envían a tu instancia de Google Security Operations. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de registro de Google.

Para definir un filtro personalizado para tus registros, completa los siguientes pasos:

1. Para definir tu filtro, crea uno personalizado para tus registros con el lenguaje de consulta de Logging. Consulta Lenguaje de consulta de Logging para obtener información sobre cómo definir este tipo de filtro.

2. Navega a la página de Google SecOps en la consola de Google Cloud y selecciona un proyecto.
   Ir a la página Google Security Operations
   

3. Inicia el Explorador de registros con el vínculo que se proporciona en la pestaña Export Filter Settings.

4. Copia tu consulta nueva en el campo Consulta y haz clic en Ejecutar consulta para probarla.

5. Copia tu nueva consulta en el campo Explorador de registros > Consulta y, luego, haz clic en Ejecutar consulta para probarla.

6. Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que deseas exportar a Google Security Operations. Cuando el filtro esté listo, cópialo en la sección Configuración del filtro de exportación personalizado de Google Security Operations.

7. Regresa a la sección Configuración del filtro de exportación personalizado en la página Google SecOps.

   Sección de configuración de filtros de exportación personalizados

8. Haz clic en el ícono de edición del campo Filtro de exportación y pega el filtro en el campo.

9. Haga clic en el botón Guardar. Tu nuevo filtro personalizado funciona en todos los registros nuevos exportados a tu instancia de Google Security Operations.

10. Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer configuración predeterminada. Asegúrate de guardar una copia de tu filtro personalizado primero.

Ajusta los filtros de los registros de auditoría de Cloud

Los registros de acceso a los datos que escriben los Registros de auditoría de Cloud pueden producir un gran volumen de datos sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google Security Operations, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de alto volumen, como las operaciones de lectura y lista de Cloud Storage y Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre cómo ajustar los registros de acceso a los datos que generan los Registros de auditoría de Cloud, consulta Administra el volumen de los registros de auditoría de acceso a los datos.

Ejemplos de filtros de exportación

En los siguientes ejemplos de filtros de exportación, se muestra cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu instancia de Google Security Operations.

Ejemplo de filtro de exportación: Incluye tipos de registro adicionales

El siguiente filtro de exportación exporta registros de transparencia de acceso, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación: Incluye registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Incluye registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta registros de transparencia de acceso desde una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Excluye registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la organización de Google Cloud, a excepción de un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporta metadatos de activos de Google Cloud

Puedes exportar tus metadatos de recursos de Google Cloud desde Cloud Asset Inventory a Google Security Operations. Estos metadatos de recursos se extraen de tu Cloud Asset Inventory y constan de información sobre los activos, los recursos y las identidades, incluidos los siguientes:

• Entorno
• Ubicación
• Zona
• Modelos de hardware
• Relaciones de control de acceso entre recursos e identidades

Los siguientes tipos de metadatos de recursos de Google Cloud se exportarán a tu instancia de Google Security Operations:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Los siguientes son ejemplos de metadatos de recursos de Google Cloud:

• Nombre de la aplicación: Google-iamSample/0.1
• Nombre del proyecto: projects/my-project

Para exportar metadatos de recursos de Google Cloud a Google Security Operations, establece el botón de activación Metadatos de recursos de Cloud en Habilitado.

Para obtener más información sobre los analizadores de contexto, consulta Analizadores de contexto de Google Security Operations.

Exporta los resultados de Security Command Center

Puedes exportar los resultados de Event Threat Detection de Security Command Center Premium y todos los demás resultados a Google Security Operations.

Para obtener más información sobre los resultados de ETD, consulta Descripción general de Event Threat Detection.

Para exportar los resultados de Security Command Center Premium a Google Security Operations, configura el botón de activación Resultados de Security Command Center Premium como Habilitado.

Exporta datos de Protección de datos sensibles a Google Security Operations

Para transferir los metadatos de los activos de Sensitive Data Protection (DLP_CONTEXT), haz lo siguiente:

1. Para habilitar la transferencia de datos de Google Cloud, completa la sección anterior de este documento.
2. Configura la Protección de datos sensibles para crear perfiles de datos.
3. Configura la configuración del análisis para publicar perfiles de datos en Google Security Operations.

Consulta la documentación de Protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos para datos de BigQuery.

Inhabilita la transferencia de datos de Google Cloud

Los pasos para inhabilitar la transferencia directa de datos desde Google Cloud son diferentes según la configuración de Google Security Operations. Elige una de estas opciones:

• Si tu instancia de Google Security Operations está vinculada a un proyecto que posees y administras, sigue estos pasos:

  1. Selecciona el proyecto vinculado a tu instancia de Google Security Operations.
  2. En la consola de Google Cloud, navega a la pestaña Transferencia en Google SecOps.
     Ve a la página de Google SecOps
  3. En el menú Organización, selecciona la organización desde la que se exportan los registros.
  4. Establece el botón de activación Enviar datos a Google Security Operations en Inhabilitado.
  5. Si configuraste la exportación de datos desde varias organizaciones y también quieres inhabilitarlas, sigue estos pasos para cada organización.

• Si tu instancia de Google Security Operations está vinculada a un proyecto que Google Cloud es propietario y administra, sigue estos pasos:

  1. Navega a la página Google SecOps > Transferencia en la consola de Google Cloud.
     Ve a la página de Google SecOps
  2. En el menú de recursos, selecciona la organización que está vinculada a tu instancia de Google Security Operations y de la que extraes datos.
  3. Marca la casilla Quiero desconectar Google Security Operations y dejar de enviar registros de Google Cloud a Google Security Operations.
  4. Haz clic en Desconectar Google Security Operations.

Soluciona problemas

• Si faltan las relaciones entre los recursos y las identidades en tu instancia de Google Security Operations, inhabilita y, luego, vuelve a habilitar la transferencia directa de datos de registro a Google Security Operations.
• Los metadatos de los recursos de Google Cloud se transfieren periódicamente a Google Security Operations. Espera varias horas para que los cambios sean visibles en las APIs y la IU de Google Security Operations.

¿Qué sigue?

• Abre tu instancia de Google Security Operations con la URL específica del cliente que te proporcionó tu representante de Google Security Operations.
• Obtén más información sobre Google Security Operations.