Recoger registros del Sistema de Detección de Intrusos de Cloud (Cloud IDS)
En este documento se explica cómo exportar e ingerir registros de Cloud IDS en Google Security Operations mediante Cloud Storage. El analizador transforma los registros de Cloud IDS sin procesar en formato JSON de Google Cloud a un formato UDM estructurado. Extrae los campos pertinentes, los asigna al esquema de UDM, categoriza los eventos y enriquece los datos con contexto adicional, como la dirección de la red y los tipos de recursos.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Instancia de Google SecOps.
- Cloud IDS está configurado y activo en tu Google Cloud entorno.
- Acceso privilegiado a Google Cloud y permisos adecuados para acceder a Cloud IDS.
Crea un segmento de Cloud Storage
- Inicia sesión en la consolaGoogle Cloud .
Ve a la página Segmentos de Cloud Storage.
Haz clic en Crear.
En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:
En la sección Empezar, haz lo siguiente:
- Introduzca un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, gcp-ids-logs.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este contenedor.
Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.
Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.
En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:
- Selecciona un Tipo de ubicación.
Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.
Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.
En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.
En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
- Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.
Haz clic en Crear.
Configurar la exportación de registros de Cloud IDS
- Inicia sesión en la consolaGoogle Cloud .
- Ve a Logging > Log Router.
- Haz clic en Crear sumidero.
Proporcione los siguientes parámetros de configuración:
- Nombre del sumidero: introduce un nombre descriptivo; por ejemplo,
google-cloud-ids-logs-sink. - Destino del receptor: selecciona Cloud Storage y proporciona el URI del segmento de almacenamiento, por ejemplo, Google Cloud
gs://gcp-ids-logs. Filtro de registro:
logName="projects/<your-project-id>/logs/cloud-ids"
- Nombre del sumidero: introduce un nombre descriptivo; por ejemplo,
Haz clic en Crear.
Configurar permisos de Cloud Storage
- Ve a IAM y administración > IAM.
- Busca la cuenta de servicio Cloud Logging.
- Concede el rol roles/storage.admin en el segmento.
Configurar feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Añadir feed.
- En la página siguiente, haga clic en Configurar un solo feed.
- En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de IDS de GCP).
- Selecciona Google Cloud Storage V2 como Tipo de origen.
- Selecciona GCP IDS como Tipo de registro.
- Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
- Especifique valores para los siguientes parámetros de entrada:
- URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo,
gs://gcp-ids-logs. - Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
Nota: Si seleccionas la opción
Delete transferred filesoDelete transferred files and empty directories, asegúrate de haber concedido los permisos adecuados a la cuenta de servicio. - Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.
- URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo,
- Haz clic en Siguiente.
- Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| insertId | metadata.product_log_id | Asignación directa. |
| jsonPayload.alert_severity | security_result.severity | Asignación directa. |
| jsonPayload.alert_time | metadata.event_timestamp | Asignación directa. |
| jsonPayload.application | principal.application | Asignación directa, solo si la dirección es de servidor a cliente. |
| jsonPayload.application | target.application | Asignación directa, solo si la dirección es de cliente a servidor o si logName contiene traffic. |
| jsonPayload.category | security_result.category | Se asigna en función del valor de "jsonPayload.category": - "dos": NETWORK_DENIAL_OF_SERVICE - "info-leak": NETWORK_SUSPICIOUS - "protocol-anomaly": NETWORK_MALICIOUS - "backdoor", "spyware", "trojan": SOFTWARE_MALICIOUS |
| jsonPayload.category | security_result.category_details | Asignación directa. |
| jsonPayload.cves | extensions.vulns.vulnerabilities.cve_id | Asignación directa, iterando sobre la matriz. |
| jsonPayload.destination_ip_address | target.ip | Asignación directa. |
| jsonPayload.destination_port | target.port | Asignación directa. |
| jsonPayload.details | extensions.vulns.vulnerabilities.description | Asignación directa. |
| jsonPayload.details | security_result.detection_fields.value | Asignado si existe "jsonPayload.repeat_count". La clave se define como "repeat_count". |
| jsonPayload.direction | network.direction | Se asigna en función del valor de "jsonPayload.direction": - "client-to-server": OUTBOUND - "server-to-client": INBOUND |
| jsonPayload.elapsed_time | network.session_duration.seconds | Asignación directa. |
| jsonPayload.ip_protocol | network.ip_protocol | Asignación directa, conversión a mayúsculas y, a continuación, asignación al número de protocolo. |
| jsonPayload.name | security_result.threat_name | Asignación directa. |
| jsonPayload.network | principal.resource.name | Asignación directa, solo si la dirección es de servidor a cliente. |
| jsonPayload.network | target.resource.name | Asignación directa, solo si la dirección es de cliente a servidor o si logName contiene traffic. |
| jsonPayload.repeat_count | security_result.detection_fields.value | Se asigna si existe. La clave se define como "repeat_count". |
| jsonPayload.session_id | network.session_id | Asignación directa. |
| jsonPayload.source_ip_address | principal.ip | Asignación directa. |
| jsonPayload.source_port | principal.port | Asignación directa. |
| jsonPayload.start_time | about.labels.value | Se asigna si existe. La clave se define como "start_time". |
| jsonPayload.start_time | additional.fields.value.string_value | Se asigna si existe. La clave se define como "start_time". |
| jsonPayload.threat_id | security_result.threat_id | Asignación directa. |
| jsonPayload.total_bytes | about.labels.value | Se asigna si existe. La clave se define como "total_bytes". |
| jsonPayload.total_bytes | additional.fields.value.string_value | Se asigna si existe. La clave se define como "total_bytes". |
| jsonPayload.total_packets | about.labels.value | Se asigna si existe. La clave es "total_packets". |
| jsonPayload.total_packets | additional.fields.value.string_value | Se asigna si existe. La clave es "total_packets". |
| jsonPayload.type | security_result.detection_fields.value | Se asigna si existe. La clave se define como "type". |
| jsonPayload.uri_or_filename | target.file.full_path | Asignación directa. |
| logName | security_result.category_details | Asignación directa. |
| receiveTimestamp | metadata.collected_timestamp | Asignación directa. |
| resource.labels.id | observer.resource.product_object_id | Asignación directa. |
| resource.labels.location | observer.location.name | Asignación directa. |
| resource.labels.resource_container | observer.resource.name | Asignación directa. |
| resource.type | observer.resource.resource_subtype | Asignación directa. |
| metadata.event_type | Determinado por un conjunto de reglas condicionales basadas en la presencia y los valores de otros campos. El valor predeterminado es "GENERIC_EVENT". | |
| metadata.vendor_name | Valor estático: Google Cloud Platform. |
|
| metadata.product_name | Valor estático: GCP_IDS. |
|
| metadata.log_type | Valor estático: GCP_IDS. |
|
| extensions.vulns.vulnerabilities.vendor | Valor estático: GCP_IDS, añadido a cada CVE en "jsonPayload.cves". |
|
| principal.resource.resource_type | Valor estático: VPC_NETWORK, se añade si existe "jsonPayload.network" y la dirección es del servidor al cliente. |
|
| target.resource.resource_type | Valor estático: VPC_NETWORK, que se añade si existe "jsonPayload.network" y la dirección es de cliente a servidor o si logName contiene traffic. |
|
| observer.resource.resource_type | Valor estático: CLOUD_PROJECT, añadido si existe "resource.labels.resource_container" o "resource.type". |
|
| observer.resource.attribute.cloud.environment | Valor estático: GOOGLE_CLOUD_PLATFORM, añadido si existe "resource.labels.resource_container" o "resource.type". |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.