Transferir datos de Google Cloud a Google Security Operations

Compatible con:

En esta página, se muestra cómo habilitar y deshabilitar la transferencia de datos de Google Cloud a Google SecOps. Google SecOps te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa durante meses o más, de acuerdo con tu período de retención de datos.

Descripción general

Existen dos opciones para enviar datos de Google Cloud a Google SecOps. La elección de la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google SecOps en tiempo real. Estos registros se generan a través de los servicios de Google Cloud .

Google Security Operations solo transfiere tipos de registros compatibles. Entre los tipos de registro disponibles, se incluyen los siguientes:

  • Registros de auditoría de Cloud
  • Cloud NAT
  • Cloud DNS
  • Cloud Next Generation Firewall
  • Sistema de detección de intrusiones de Cloud
  • Cloud Load Balancing
  • Cloud SQL
  • Registros de eventos de Windows
  • Syslog de Linux
  • Sysmon de Linux
  • Zeek
  • Google Kubernetes Engine
  • Daemon de auditoría (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Registros de Cloud Run (GCP_RUN)

Para obtener detalles sobre los filtros de registro específicos y más detalles sobre la transferencia, consulta Cómo exportar registros de Google Cloud a Google SecOps.

También puedes enviar los metadatos de los activos de Google Cloud que se usan para enriquecer el contexto. Para obtener más información, consulta Cómo exportar los metadatos de los activos de Google Cloud a Google SecOps.

Opción 2:Almacenamiento de Google Cloud

Cloud Logging puede enrutar registros a Cloud Storage para que Google SecOps los recupere de forma programada.

Para obtener detalles sobre cómo configurar Cloud Storage para Google SecOps, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de transferir datos de Google Cloud a una instancia de Google SecOps, debes completar los siguientes pasos:

  1. Otorga los siguientes roles de IAM necesarios para acceder a la sección de Google SecOps:

    • Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es el rol de IAM para realizar todas las actividades.
    • Visualizador de servicios de Chronicle (roles/chroniclesm.viewer): Es el rol de IAM para ver solo el estado de la transferencia.
    • Editor administrador de Security Center (roles/securitycenter.adminEditor): Obligatorio para habilitar la transferencia de metadatos de recursos de Cloud.

  2. Si planeas habilitar los metadatos de los recursos de Cloud, debes incorporar la organización a Security Command Center. Consulta Descripción general de la activación a nivel de la organización para obtener más información.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

  1. Accede a la organización de Google Cloud a la que deseas conectarte y navega hasta la pantalla de IAM en Productos > IAM y administración > IAM.

  2. En la pantalla IAM, selecciona el usuario y haz clic en Editar miembro.

  3. En la pantalla Editar permisos, haz clic en Agregar otra función y busca Google SecOps para encontrar los roles de IAM.

  4. Una vez que hayas asignado los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

  1. Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.

  2. Para otorgar el rol de administrador de IAM de Chronicle Service con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID numérico de la organización.
    • USER_EMAIL: la dirección de correo electrónico del usuario.

  3. Para otorgar el rol de IAM de Visualizador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Para otorgar el rol de editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Habilita la transferencia directa desde Google Cloud

Los pasos para habilitar la transferencia directa desde Google Cloud son diferentes según la propiedad del proyecto al que está vinculada tu instancia de Google SecOps.

Después de configurar la transferencia directa, tus datos de Google Cloud se envían a Google SecOps. Puedes usar las funciones de análisis de Google SecOps para investigar problemas relacionados con la seguridad.

Cómo configurar la transferencia cuando el cliente es propietario del proyecto

Sigue estos pasos si eres propietario del proyecto de Google Cloud .

Puedes configurar la transferencia directa desde varias organizaciones con la misma página de configuración a nivel del proyecto. Sigue estos pasos para crear una configuración nueva y editar una configuración existente.

Cuando migras una instancia existente de Google SecOps para que se vincule a un proyecto que te pertenece, y si la transferencia directa se configuró antes de la migración, la configuración de transferencia directa también se migra.

  1. Navega a la página Google SecOps > Configuración de transferencia en la consola de Google Cloud.
    Ve a la página de Google SecOps
  2. Selecciona el proyecto vinculado a tu instancia de Google SecOps.

  3. En el menú Organización, selecciona la organización desde la que se exportarán los registros. En el menú, se muestran las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no están vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a una instancia diferente de Google SecOps.

    Seleccionar una organización

  4. En la sección Configuración de transferencia de datos de Google Cloud, haz clic en el botón de activación Enviar datos a Google Security Operations para habilitar el envío de registros a Google SecOps.

  5. Selecciona una o más de las siguientes opciones para definir el tipo de datos que se envían a Google SecOps:

  6. En la sección Configuración del filtro de exportación de clientes, define los filtros de exportación que personalicen los datos de Cloud Logging exportados a Google SecOps. Consulta Cómo exportar registros de Google Cloud para conocer los tipos de datos de registro que exportas.

  7. Para transferir registros de una organización adicional a la misma instancia de Google SecOps, selecciona la organización en el menú Organization y, luego, repite los pasos para definir el tipo de datos que se exportarán y los filtros de exportación. Verás varias organizaciones en el menú Organización.

  8. Para exportar datos de la Prevención de pérdida de datos de la nube de Google Cloud a Google SecOps, consulta Cómo exportar datos de la Prevención de pérdida de datos de la nube de Google Cloud a Google SecOps.

Configura la transferencia cuando un proyecto es propiedad de Google Cloud

Si Google Cloud es el propietario del proyecto, haz lo siguiente para configurar la transferencia directa desde tu organización de Google Cloud a tu instancia de Google SecOps:

  1. Navega a la pestaña Google SecOps > Descripción general > Transferencia en la consola de Google Cloud. Ve a la pestaña Transferencia de Google SecOps
  2. Haz clic en el botón Administra la configuración de transferencia de la organización.
  3. Si ves el mensaje Page not viewable for projects., selecciona una organización y, luego, haz clic en Seleccionar.
  4. Ingresa tu código de acceso único en el campo Código de acceso único de Google SecOps.
  5. Marca la casilla Doy mi consentimiento a las condiciones del uso que Google SecOps hace de mis datos de Google Cloud .
  6. Haz clic en Conectar Google SecOps.
  7. Ve a la pestaña Configuración de transferencia global de la organización.

  8. Habilita una o más de las siguientes opciones para seleccionar el tipo de datos que se enviarán:

  9. Ve a la pestaña Exporta la configuración de filtros.

  10. En la sección Configuración del filtro de exportación de clientes, define los filtros de exportación que personalicen los datos de Cloud Logging exportados a Google SecOps. Consulta Cómo exportar registros de Google Cloud para ver los tipos de datos de registro que exportas.

  11. Para exportar datos de la Prevención de pérdida de datos de la nube de Google Cloud a Google SecOps, consulta Cómo exportar datos de la Prevención de pérdida de datos de la nube de Google Cloud a Google SecOps.

Exporta registros de Google Cloud

Después de habilitar Cloud Logging, puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de Google SecOps, que se enumeran por tipo de registro y etiqueta de transferencia de Google SecOps:

  • Registros de auditoría de Cloud(GCP_CLOUDAUDIT): Incluye los registros de Actividad del administrador, Eventos del sistema, Transparencia de acceso y Política denegada.
    • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • Registros de Cloud NAT(GCP_CLOUD_NAT):
    • log_id("compute.googleapis.com/nat_flows")
  • Registros de Cloud DNS (GCP_DNS):
    • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
  • Registros de Cloud Next Generation Firewall(GCP_FIREWALL):
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS:
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING:
    • log_id("requests") Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing.
  • GCP_CLOUDSQL:
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM:
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON:
    • log_id("sysmon.raw")
  • WINEVTLOG:
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON:
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE:
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • AUDITD:
    • log_id("audit_log")
  • GCP_APIGEE_X:
    • log_id("apigee.googleapis.com/ingress_instance")
    • log_id("apigee.googleapis.com")
    • log_id("apigee-logs")
    • log_id("apigee")
    • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"
  • GCP_RECAPTCHA_ENTERPRISE:
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN:
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE:
    • log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar los registros de Google Cloud a Google SecOps, establece el botón de activación Habilitar registros de Cloud en Habilitado. Los tipos de registros compatibles de Google Cloud se pueden exportar a tu instancia de Google SecOps.

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Estadísticas de registros de seguridad en Google Cloud.

Exporta la configuración de filtros

En las siguientes secciones, se proporciona información sobre los filtros de exportación.

Configuración del filtro de exportación personalizado

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y evento del sistema) y los registros de Cloud DNS se envían a tu instancia de Google SecOps. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de registro de Google.

Para definir un filtro personalizado para tus registros, completa los siguientes pasos:

  1. Para definir tu filtro, crea uno personalizado para tus registros con el lenguaje de consulta de Logging. Consulta Lenguaje de consulta de Logging para obtener información sobre cómo definir este tipo de filtro.

  2. Navega a la página de Google SecOps en la consola de Google Cloud y selecciona un proyecto.
    Ve a la página de Google SecOps

  3. Inicia el Explorador de registros con el vínculo que se proporciona en la pestaña Export Filter Settings.

  4. Copia tu consulta nueva en el campo Consulta y haz clic en Ejecutar consulta para probarla.

  5. Copia tu nueva consulta en el campo Explorador de registros > Consulta y, luego, haz clic en Ejecutar consulta para probarla.

  6. Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que deseas exportar a Google SecOps. Cuando el filtro esté listo, cópialo en la sección Configuración del filtro de exportación personalizado de Google SecOps.

  7. Regresa a la sección Configuración del filtro de exportación personalizado en la página Google SecOps.

    Sección de configuración de filtros de exportación personalizados

  8. Haz clic en el ícono de edición del campo Filtro de exportación y pega el filtro en el campo.

  9. Haga clic en el botón Guardar. Tu nuevo filtro personalizado funciona en todos los registros nuevos exportados a tu instancia de Google SecOps.

  10. Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer configuración predeterminada. Asegúrate de guardar una copia de tu filtro personalizado primero.

Ajusta los filtros de los registros de auditoría de Cloud

Los registros de acceso a los datos que escriben los Registros de auditoría de Cloud pueden producir un gran volumen de datos sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google SecOps, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de alto volumen, como las operaciones de lectura y lista de Cloud Storage y Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre cómo ajustar los registros de acceso a los datos que generan los Registros de auditoría de Cloud, consulta Administra el volumen de los registros de auditoría de acceso a los datos.

Ejemplos de filtros de exportación

En los siguientes ejemplos de filtros de exportación, se muestra cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu instancia de Google SecOps.

Ejemplo de filtro de exportación: Incluye tipos de registro adicionales

El siguiente filtro de exportación exporta registros de transparencia de acceso, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación: Incluye registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Incluye registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta registros de transparencia de acceso desde una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Excluye registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la organización de Google Cloud , excepto un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporta los metadatos de los activos de Google Cloud

Puedes exportar los metadatos de tus recursos de Google Cloud del Cloud Asset Inventory a Google SecOps. Estos metadatos de recursos se extraen de tu Cloud Asset Inventory y constan de información sobre los activos, los recursos y las identidades, incluidos los siguientes:

  • Entorno
  • Ubicación
  • Zona
  • Modelos de hardware
  • Relaciones de control de acceso entre recursos e identidades

Los siguientes tipos de metadatos de activos de Google Cloud se exportarán a tu instancia de Google SecOps:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Los siguientes son ejemplos de metadatos de activos de Google Cloud :

  • Nombre de la aplicación: Google-iamSample/0.1
  • Nombre del proyecto: projects/my-project

Para exportar los metadatos de los activos de Google Cloud a Google SecOps, establece el botón de activación Metadatos de recursos de Cloud en Habilitado.

Habilita los metadatos de recursos de Cloud.

Para obtener más información sobre los analizadores de contexto, consulta Analizadores de contexto de Google SecOps.

Exporta los resultados de Security Command Center

Puedes exportar los resultados de Event Threat Detection de Security Command Center Premium y todos los demás resultados a Google SecOps.

Para obtener más información sobre los resultados de ETD, consulta Descripción general de Event Threat Detection.

Para exportar los resultados de Security Command Center Premium a Google SecOps, configura el botón de activación Resultados de Security Command Center Premium como Habilitado.

Cómo exportar datos de Protección de datos sensibles a Google SecOps

Para transferir los metadatos de los activos de Sensitive Data Protection (DLP_CONTEXT), haz lo siguiente:

  1. Para habilitar la transferencia de datos de Google Cloud , completa la sección anterior de este documento.
  2. Configura la Protección de datos sensibles para crear perfiles de datos.
  3. Configura el análisis para publicar perfiles de datos en Google SecOps.

Consulta la documentación de Protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos para datos de BigQuery.

Inhabilita la transferencia de datos de Google Cloud

Los pasos para inhabilitar la transferencia directa de datos desde Google Cloud son diferentes según la configuración de Google SecOps. Elige una de estas opciones:

  • Si tu instancia de Google SecOps está vinculada a un proyecto que posees y administras, sigue estos pasos:

    1. Selecciona el proyecto vinculado a tu instancia de Google SecOps.
    2. En la consola de Google Cloud, navega a la pestaña Transferencia en Google SecOps.
      Ve a la página de Google SecOps
    3. En el menú Organización, selecciona la organización desde la que se exportan los registros.
    4. Establece el botón de activación Enviar datos a Google Security Operations en Inhabilitado.
    5. Si configuraste la exportación de datos desde varias organizaciones y también quieres inhabilitarlas, sigue estos pasos para cada organización.

  • Si tu instancia de Google SecOps está vinculada a un proyecto que Google Cloud posee y administra, sigue estos pasos:

    1. Navega a la página Google SecOps > Transferencia en la consola de Google Cloud.
      Ve a la página de Google SecOps
    2. En el menú de recursos, selecciona la organización vinculada a tu instancia de Google SecOps de la que transfieres datos.
    3. Marca la casilla Quiero desconectar Google SecOps y dejar de enviar registros de Google Cloud a Google SecOps.
    4. Haz clic en Desconectar Google SecOps.

Controla la velocidad de transferencia

Cuando la tasa de transferencia de datos de un inquilino alcanza un umbral determinado, Google Security Operations restringe la tasa de transferencia de feeds de datos nuevos para evitar que una fuente con una tasa de transferencia alta afecte la tasa de transferencia de otra fuente de datos. En este caso, hay una demora, pero no se pierden datos. El volumen de transferencia y el historial de uso del inquilino determinan el umbral.

Para solicitar un aumento del límite de frecuencia, comunícate con Atención al cliente de Cloud.

Soluciona problemas

  • Si faltan las relaciones entre los recursos y las identidades en tu instancia de Google SecOps, inhabilita y, luego, vuelve a habilitar la transferencia directa de datos de registro a Google SecOps.
  • Los metadatos de los activos de Google Cloud se transfieren periódicamente a Google SecOps. Espera varias horas para que los cambios sean visibles en la IU y las APIs de Google SecOps.

¿Qué sigue?

  • Abre tu instancia de Google SecOps con la URL específica del cliente que te proporcionó tu representante de Google SecOps.
  • Obtén más información sobre Google SecOps.