Recoger registros de errores de Security Command Center

Disponible en:

En este documento se explica cómo exportar e ingerir registros de errores de Security Command Center en Google Security Operations mediante Cloud Storage. El analizador transforma los registros sin procesar en formato JSON en un modelo de datos unificado (UDM). Extrae los campos relevantes del registro sin procesar, limpia y normaliza los datos, y estructura la salida según el esquema de UDM para que el análisis de seguridad sea coherente.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, gcp-scc-error-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar el registro de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Settings (Configuración).

  5. Haga clic en la pestaña Exportaciones continuas.

  6. En Nombre de exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Proyecto de registro, introduce o busca el proyecto en el que quieras registrar los resultados.

  9. Haz clic en Guardar.

Configurar la exportación de registros de errores de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, scc-error-logs-sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-scc-error-logs/.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"

    • Definir opciones de exportación: incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de errores de Security Command Center).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Seleccione Error de Security Command Center como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.
  9. Especifique los valores de los siguientes parámetros de entrada:
    • URI del segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://gcp-scc-error-logs/. Esta URL debe terminar con una barra inclinada (/).
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras. Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber concedido los permisos adecuados a la cuenta de servicio.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
  10. Haz clic en Siguiente.
  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
access.principalEmail about.user.email_addresses Valor tomado del campo access.principalEmail.
category metadata.product_event_type Valor tomado del campo category o findings.category en función del formato del registro.
contacts.security.contacts.email security_result.about.user.email_addresses Valor tomado del campo contacts.security.contacts.email. El rol es Security.
contacts.technical.contacts.email security_result.about.user.email_addresses Valor tomado del campo contacts.technical.contacts.email. El rol es Technical.
createTime security_result.detection_fields.value Valor tomado del campo createTime o findings.createTime en función del formato del registro. La tecla está configurada como createTime.
description security_result.description Valor tomado del campo description o findings.description en función del formato del registro.
eventTime metadata.event_timestamp Valor tomado del campo eventTime o findings.eventTime en función del formato del registro y convertido en una marca de tiempo.
externalUri about.url Valor tomado del campo externalUri o findings.externalUri en función del formato del registro.
findingClass security_result.category_details Valor tomado del campo findingClass o findings.findingClass en función del formato del registro.
findingProviderId target.resource.attribute.labels.value Valor tomado del campo findingProviderId o findings.findingProviderId en función del formato del registro. La tecla está configurada como finding_provider_id.
mute security_result.detection_fields.value Valor tomado del campo mute o findings.mute en función del formato del registro. La tecla está configurada como mute.
nextSteps security_result.outcomes.value Valor tomado del campo nextSteps o findings.nextSteps en función del formato del registro. La tecla está configurada como nextSteps.
resourceName target.resource.name Valor tomado del campo resourceName, findings.resourceName, resource_name o findings.resource_name, en función del formato del registro.
securityMarks.name security_result.detection_fields.value Valor tomado del campo securityMarks.name o findings.securityMarks.name en función del formato del registro. La tecla está configurada como securityMarks_name.
gravedad security_result.severity Valor tomado del campo severity o findings.severity en función del formato del registro y asignado al nivel de gravedad de UDM correspondiente.
sourceDisplayName target.resource.attribute.labels.value Valor tomado del campo sourceDisplayName o findings.sourceDisplayName en función del formato del registro. La tecla está configurada como source_display_name.
sourceProperties.ReactivationCount target.resource.attribute.labels.value Valor tomado del campo sourceProperties.ReactivationCount o findings.sourceProperties.ReactivationCount en función del formato del registro. La tecla está configurada como sourceProperties_ReactivationCount.
estado security_result.detection_fields.value Valor tomado del campo state o findings.state en función del formato del registro. La tecla está configurada como state.
metadata.event_type Se asigna el valor predeterminado GENERIC_EVENT.
metadata.log_type Valor codificado GCP_SECURITYCENTER_ERROR.
metadata.description Valor codificado Security Command Center.
metadata.product_name Valor codificado Security Command Center.
metadata.vendor_name Valor codificado Google.
target.resource.attribute.labels.key Valor codificado finding_id.
target.resource.attribute.labels.value Se extrae del campo name o findings.name y captura la última parte después del último carácter /.
target.resource.product_object_id Se extrae del campo parent o findings.parent y se captura el valor que aparece después del último carácter /.
target.resource.ancestors.name Valor tomado del campo parent o findings.parent en función del formato del registro.
target.resource_ancestors.name Se extrae del campo resourceName o findings.resourceName y se captura el valor que aparece después del prefijo //cloudresourcemanager.googleapis.com/projects/.
target.resource_ancestors.resource_type Valor codificado CLOUD_PROJECT.
target.resource.attribute.labels.key Valor codificado source_id.
target.resource.attribute.labels.value Se extrae del campo parent o findings.parent y se captura el valor que aparece después del segundo carácter /.
security_result.alert_state Asignación basada en el campo state o findings.state. Si el estado es ACTIVE, alert_state se define como ALERTING. De lo contrario, se define como NOT_ALERTING.
about.user.email_addresses Valor tomado del campo iamBindings.member.
about.user.attribute.roles.name Valor codificado Security.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.