Cómo recopilar registros de Cloud Next Generation Firewall Enterprise

Compatible con:

En este documento, se explica cómo exportar y transferir registros de Cloud NGFW Enterprise a Google Security Operations con Google Cloud. El analizador extrae campos de los Google Cloud registros del firewall, los transforma y los asigna a la UDM. Controla varios campos de registro, incluidos los detalles de la conexión, la información de amenazas, los detalles de las reglas y la información de la red, y realiza conversiones de tipos de datos, cambios de nombre y lógica condicional en función de los campos action y direction para propagar el modelo de UDM correctamente.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de que Cloud NGFW Enterprise esté activo y configurado en tu Google Cloud entorno.
  • Asegúrate de tener acceso con privilegios a Google Cloud y los permisos adecuados para acceder a los registros de Cloud NGFW Enterprise.

Cree un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-ngfw-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura la exportación de registros de NGFW de Cloud

  1. Accede a la consola de Google Cloud.
  2. Ve a Registros > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, NGFW-Export-Sink.
    • Sink Destination: Selecciona Google Cloud Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-ngfw-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir los registros de NGFW Enterprise de Cloud

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros empresariales de NGFW de GCP.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona GCP NGFW Enterprise como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Google Cloud Es la URL del bucket de almacenamiento; por ejemplo, gs://gcp-ngfw-logs.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
insertId metadata.product_log_id Se asigna directamente desde el campo insertId.
jsonPayload.action security_result.action_details Se asigna directamente desde el campo jsonPayload.action.
jsonPayload.connection.clientIp principal.asset.ip Se asigna directamente desde el campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientIp principal.ip Se asigna directamente desde el campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientPort principal.port Se asigna directamente desde el campo jsonPayload.connection.clientPort y se convierte en número entero.
jsonPayload.connection.protocol network.ip_protocol Se asigna desde jsonPayload.connection.protocol. Si el valor es tcp, el campo UDM se establece en TCP. Una lógica similar se aplica a udp, icmp y igmp.
jsonPayload.connection.serverIp target.asset.ip Se asigna directamente desde el campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverIp target.ip Se asigna directamente desde el campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverPort target.port Se asigna directamente desde el campo jsonPayload.connection.serverPort y se convierte en número entero.
jsonPayload.interceptVpc.projectId security_result.rule_labels Se asignó desde jsonPayload.interceptVpc.projectId con la clave rule_details_projectId.
jsonPayload.interceptVpc.vpc security_result.rule_labels Se asignó desde jsonPayload.interceptVpc.vpc con la clave rule_details_vpc_network.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Se asignó desde jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la clave rule_details_security_profile_group.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Se asignó desde jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la clave rule_details_securityProfileGroupDetails_id.
jsonPayload.threatDetails.category security_result.rule_labels Se asignó desde jsonPayload.threatDetails.category con la clave rule_details_category.
jsonPayload.threatDetails.direction security_result.rule_labels Se asignó desde jsonPayload.threatDetails.direction con la clave rule_details_direction.
jsonPayload.threatDetails.id security_result.threat_id Se asigna directamente desde el campo jsonPayload.threatDetails.id.
jsonPayload.threatDetails.severity security_result.severity Se asigna desde jsonPayload.threatDetails.severity. Si el valor es CRITICAL, el campo UDM se establece en CRITICAL. Se aplica una lógica similar para HIGH, MEDIUM, LOW y INFO.
jsonPayload.threatDetails.threat security_result.threat_name Se asigna directamente desde el campo jsonPayload.threatDetails.threat.
jsonPayload.threatDetails.type security_result.rule_labels Se asignó desde jsonPayload.threatDetails.type con la clave rule_details_threat_type.
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels Se asignó desde jsonPayload.threatDetails.uriOrFilename con la clave rule_details_uriOrFilename.
logName metadata.product_event_type Se asigna directamente desde el campo logName.
metadata.collected_timestamp metadata.collected_timestamp Se asignan directamente desde el campo receiveTimestamp y se analizan con el formato de fecha especificado.
metadata.event_type metadata.event_type Se establece en NETWORK_CONNECTION si están presentes principal_ip y target_ip. Se establece en STATUS_UNCATEGORIZED si solo está presente principal_ip. De lo contrario, configúralo como GENERIC_EVENT.
metadata.product_name metadata.product_name Se codifica en GCP Firewall.
metadata.vendor_name metadata.vendor_name Se codifica en Google Cloud Platform.
receiveTimestamp metadata.collected_timestamp Se asigna directamente desde el campo receiveTimestamp.
security_result.action security_result.action Se deriva del campo jsonPayload.action. Se asigna a ALLOW, BLOCK o UNKNOWN_ACTION según el valor de jsonPayload.action.
timestamp metadata.event_timestamp Se asigna directamente desde el campo timestamp.
timestamp timestamp Se asigna directamente desde el campo timestamp.

Cambios

2024-04-16

  • Se cambió la asignación de alert_severity de jsonPayload.alert_severity a jsonPayload.threatDetails.severity.
  • Se cambió la asignación de threat_id de jsonPayload.threat_id a jsonPayload.threatDetails.id.
  • Se cambió la asignación de rdspg de jsonPayload.security_profile_group a jsonPayload.securityProfileGroupDetails.securityProfileGroupId.
  • Se cambió la asignación de rduri de jsonPayload.uri_or_filename a jsonPayload.threatDetails.uriOrFilename.
  • Se quitó la asignación de jsonPayload.rule_details.priority, jsonPayload.rule_details.apply_security_profile_fallback_action, jsonPayload.rule_details.source_range y jsonPayload.rule_details.target_secure_tag.

2024-03-26

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.