Cómo recopilar registros de observación de Cloud Security Command Center
En este documento, se explica cómo exportar e transferir los registros de observación de Security Command Center a Google Security Operations con Cloud Storage. El analizador transforma los datos JSON sin procesar en un modelo de datos unificado (UDM). Normaliza la estructura de datos, controla las posibles variaciones en la entrada y, luego, extrae y asigna los campos relevantes al esquema de la UDM, lo que enriquece los datos con contexto y marcas adicionales para el análisis posterior.
Antes de comenzar
- Asegúrate de que Google Cloud Security Command Center esté habilitado y configurado en tu Google Cloud entorno.
- Asegúrate de tener una instancia de Google SecOps.
- Asegúrate de tener acceso con privilegios a Security Command Center y Cloud Logging.
Cree un bucket de Cloud Storage
- Accede a la consola de Google Cloud.
Ve a la página Buckets de Cloud Storage.
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:
En la sección Primeros pasos, haz lo siguiente:
- Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-scc-observation-logs.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
- Selecciona un tipo de ubicación
Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
- Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.
Configura el registro de Security Command Center
- Accede a la consola de Google Cloud.
Ve a la página Security Command Center.
Selecciona tu organización.
Haz clic en Configuración.
Haz clic en la pestaña Exportaciones continuas.
En Nombre de la exportación, haz clic en Exportación de registros.
En Receptores, activa Registros de resultados en Logging.
En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.
Haz clic en Guardar.
Configura la Google Cloud exportación de registros de observación de Security Command Center
- Accede a la consola de Google Cloud.
- Ve a Registros > Enrutador de registros.
- Haz clic en Crear receptor.
Proporciona los siguientes parámetros de configuración:
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo,
scc-observation-logs-sink
. - Sink Destination: Selecciona Cloud Storage Storage y, luego, ingresa el URI de tu bucket, por ejemplo,
gs://gcp-scc-observation-logs
. Filtro de registro:
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations" resource.type="security_command_center_observation" logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings" resource.type="security_center_findings"
Set Export Options: Incluye todas las entradas de registro.
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo,
Haz clic en Crear.
Configura los permisos de Cloud Storage
- Ve a IAM y administración > IAM.
- Busca la cuenta de servicio de Cloud Logging.
- Otorga el rol roles/storage.admin en el bucket.
Configura un feed en Google SecOps para transferir Google Cloud registros de observación de Security Command Center
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Google Cloud Registros de observación de Security Command Center.
- Selecciona Google Cloud Storage como el Tipo de fuente.
- Selecciona Security Command Center Observation como el Tipo de registro.
- Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo,
gs://gcp-scc-observation-logs
. - URI Is A: Selecciona Directorio que incluye subdirectorios.
Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo,
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
access.callerIp | read_only_udm.principal.ip | Asignación directa |
access.callerIpGeo.regionCode | read_only_udm.principal.location.country_or_region | Asignación directa |
access.methodName | read_only_udm.additional.fields.value.string_value | Asignación directa También se asigna a read_only_udm.target.labels.value. |
access.principalEmail | read_only_udm.principal.user.email_addresses | Asignación directa |
access.principalSubject | read_only_udm.principal.user.attribute.labels.value | Asignación directa |
assetDisplayName | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
assetId | read_only_udm.target.asset.asset_id | El valor después de assets/ se extrae del campo assetId y se asigna como AssetID:<extracted_value> . |
category | read_only_udm.metadata.product_event_type | Asignación directa |
contacts.security.contacts.email | read_only_udm.security_result.about.user.email_addresses | Asignación directa El objeto about se puede repetir varias veces según la cantidad de contactos. El campo roles.name se establece como Security para este campo. |
contacts.technical.contacts.email | read_only_udm.security_result.about.user.email_addresses | Asignación directa El objeto about se puede repetir varias veces según la cantidad de contactos. El campo roles.name se establece como Technical para este campo. |
createTime | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como createTime para este campo. |
eventTime | read_only_udm.metadata.event_timestamp | Se convirtió al formato de marca de tiempo. |
externalUri | read_only_udm.about.url | Asignación directa |
findingClass | read_only_udm.security_result.category_details | Asignación directa |
findingProviderId | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
mitreAttack.primaryTactic | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como primary_tactic para este campo. |
mitreAttack.primaryTechniques | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según la cantidad de técnicas. El campo key se establece como primary_technique para este campo. |
mudo/muda/callado/callada | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como mute para este campo. |
nombre | read_only_udm.metadata.product_log_id | Asignación directa |
parentDisplayName | read_only_udm.metadata.description | Asignación directa |
resource.display_name | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resource.name | read_only_udm.target.resource.name, read_only_udm.principal.resource.name | Asignación directa Cuando se use este campo para propagar el campo principal.resource.name , el analizador verificará si resource.project_name está vacío. Si no está vacío, se usará resource.project_name en su lugar. |
resource.parent_display_name | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resource.parent_name | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resource.project_display_name | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resource.project_name | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resource.type | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
resourceName | read_only_udm.target.resource.name | Asignación directa |
securityMarks.name | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como securityMarks_name para este campo. |
gravedad, | read_only_udm.security_result.severity, read_only_udm.security_result.priority_details | Asignación directa |
sourceDisplayName | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
sourceProperties.contextUris.mitreUri.displayName | read_only_udm.security_result.detection_fields.key | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. |
sourceProperties.contextUris.mitreUri.url | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. |
sourceProperties.detectionCategory.ruleName | read_only_udm.security_result.rule_name | Asignación directa |
sourceProperties.detectionCategory.subRuleName | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como sourceProperties_detectionCategory_subRuleName para este campo. |
sourceProperties.detectionPriority | read_only_udm.security_result.priority_details | Asignación directa |
sourceProperties.findingId | read_only_udm.target.resource.attribute.labels.value | Asignación directa |
state | read_only_udm.security_result.detection_fields.value | Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece como state para este campo. |
N/A | is_alert | Se establece en verdadero si el registro se analiza correctamente. |
N/A | is_significant | Se establece en verdadero si el registro se analiza correctamente. |
N/A | read_only_udm.metadata.log_type | Se codifica en GCP_SECURITYCENTER_OBSERVATION . |
N/A | read_only_udm.metadata.product_name | Se codifica en Security Command Center . |
N/A | read_only_udm.metadata.vendor_name | Se codifica en Google . |
N/A | read_only_udm.principal.user.account_type | Se establece en CLOUD_ACCOUNT_TYPE si hay un correo electrónico principal. |
N/A | read_only_udm.security_result.alert_state | Se codifica en ALERTING . |
N/A | read_only_udm.security_result.priority | Se establece en LOW_PRIORITY si la gravedad es LOW . |
N/A | read_only_udm.target.application | Se extrae del campo resourceName. |
N/A | read_only_udm.target.resource.product_object_id | Se extrae del campo superior. |
N/A | read_only_udm.target.resource.resource_type | Se configura de forma predeterminada en CLUSTER . Se establece en VIRTUAL_MACHINE si la categoría es Impact: GPU Instance Created o Impact: Many Instances Created . Se establece en SETTING si la categoría es Persistence: Add Sensitive Role . |
N/A | read_only_udm.target.resource_ancestors.name | Se extrae de los campos parent y resourceName. |
N/A | read_only_udm.target.resource_ancestors.product_object_id | Se extrae de los campos superior, resource.project_name y resourceName. |
N/A | read_only_udm.target.resource_ancestors.resource_type | Establece en CLOUD_PROJECT si resource.type es google.compute.Project . |
N/A | read_only_udm.target.labels.key | El valor se establece en access_methodName si access.methodName está presente. |
N/A | read_only_udm.target.labels.value | El valor se establece desde access.methodName . |
N/A | read_only_udm.target.resource.attribute.labels.key | La clave se establece en uno de los siguientes valores según el campo disponible: resource_parentDisplayName , resource_type , resource_parentName , resource_projectDisplayName , resource_displayName , finding_id , source_id , FindingProviderId , sourceDisplayName , asset_display_name . |
N/A | read_only_udm.target.resource.attribute.labels.value | El valor se establece en uno de los siguientes campos según el campo disponible: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName, assetDisplayName. |
Cambios
2023-11-29
- Se corrigió una incoherencia en la forma en que se manejaban los nombres de host en el analizador.
2023-05-02
- Se aseguró de que el campo
security_result.url_back_to_product
ahora contenga una dirección web con el formato correcto.
2023-04-12
- Se actualizó el analizador
GCP_SECURITYCENTER_OBSERVATION
de forma predeterminada.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.