Recoger registros de Cloud Run

Disponible en:

En esta guía se explica cómo exportar registros de Cloud Run a Google Security Operations mediante Cloud Storage. El analizador extrae campos de los registros JSON y los transforma en el modelo de datos unificado (UDM). Gestiona varios formatos de registro, incluidos los datos de solicitudes HTTP y los registros de auditoría del sistema, asignando los campos relevantes a UDM y, al mismo tiempo, enriqueciendo los datos con etiquetas y metadatos específicos de Cloud Run.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Cloud Run está configurado y activo en tu Google Cloud entorno.
  • Acceso privilegiado a Google Cloud.

Crear un segmento de Google Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, cloudrun-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros en Cloud Run

  1. En la página Google Cloud Bienvenido, haz clic en el icono Cloud Run.
  2. Busca Registro en la barra de búsqueda de la parte superior y haz clic en Intro.
  3. En Explorador de registros, filtra los registros seleccionando Cloud Run en Nombre del registro y haz clic en Aplicar.
  4. En el menú, haga clic en Más acciones > Crear receptor.
  5. Proporcione las siguientes configuraciones:
    1. Detalles del receptor: introduce un nombre y una descripción.
    2. Haz clic en Siguiente.
    3. Destino del receptor: selecciona Segmento de Cloud Storage.
    4. Segmento de Cloud Storage: selecciona el segmento que has creado antes o crea uno nuevo.
    5. Haz clic en Siguiente.
    6. Seleccionar los registros que se incluirán en el sumidero: se rellena un registro predeterminado cuando se selecciona una opción en el segmento de Cloud Storage.
    7. Haz clic en Siguiente.
    8. Opcional: Seleccionar los registros que se excluirán del sumidero: selecciona los registros que no quieras que se incluyan en el sumidero.
  6. Haz clic en Crear sumidero.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Cloud Run).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Selecciona GCP Cloud Run como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio en Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL de segmento de almacenamiento en formato gs://my-bucket/<value>/. Google Cloud Esta URL debe terminar con una barra inclinada (/).

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
httpRequest.latency target.resource.attribute.labels.[] El valor de httpRequest.latency del registro sin procesar se usa como valor de una etiqueta con la clave http_request_latency en target.resource.attribute.labels.
httpRequest.protocol network.application_protocol Si httpRequest.protocol contiene HTTP, el campo de UDM se define como HTTP.
httpRequest.remoteIp principal.asset.ip Se usa el valor de httpRequest.remoteIp del registro sin procesar.
httpRequest.remoteIp principal.ip Se usa el valor de httpRequest.remoteIp del registro sin procesar.
httpRequest.requestMethod network.http.method Se usa el valor de httpRequest.requestMethod del registro sin procesar.
httpRequest.requestSize network.sent_bytes El valor de httpRequest.requestSize del registro sin procesar se convierte en un número entero sin signo y se usa.
httpRequest.requestUrl target.url Se usa el valor de httpRequest.requestUrl del registro sin procesar.
httpRequest.responseSize network.received_bytes El valor de httpRequest.responseSize del registro sin procesar se convierte en un número entero sin signo y se usa.
httpRequest.serverIp target.asset.ip Se usa el valor de httpRequest.serverIp del registro sin procesar.
httpRequest.serverIp target.ip Se usa el valor de httpRequest.serverIp del registro sin procesar.
httpRequest.status network.http.response_code El valor de httpRequest.status del registro sin procesar se convierte en un número entero y se usa.
httpRequest.userAgent network.http.parsed_user_agent El valor de httpRequest.userAgent del registro sin procesar se analiza como una cadena user-agent.
httpRequest.userAgent network.http.user_agent Se usa el valor de httpRequest.userAgent del registro sin procesar.
insertId metadata.product_log_id Se usa el valor de insertId del registro sin procesar.
labels.instanceId additional.fields.[] El valor de labels.instanceId se usa como valor de una etiqueta con la clave instanceId en additional.fields.
labels.run.googleapis.com_execution_name additional.fields.[] El valor de labels.run.googleapis.com_execution_name se usa como valor de una etiqueta con la clave execution_name en additional.fields.
labels.run.googleapis.com_task_attempt additional.fields.[] El valor de labels.run.googleapis.com_task_attempt se usa como valor de una etiqueta con la clave task_attempt en additional.fields.
labels.run.googleapis.com_task_index additional.fields.[] El valor de labels.run.googleapis.com_task_index se usa como valor de una etiqueta con la clave task_index en additional.fields.
logName metadata.product_event_type Se usa el valor de logName del registro sin procesar.
resource.labels.configuration_name target.resource.attribute.labels.[] El valor de resource.labels.configuration_name se usa como valor de una etiqueta con la clave configuration_name en target.resource.attribute.labels.
resource.labels.job_name additional.fields.[] El valor de resource.labels.job_name se usa como valor de una etiqueta con la clave job_name en additional.fields.
resource.labels.location target.location.name Se usa el valor de resource.labels.location del registro sin procesar.
resource.labels.project_id target.resource.attribute.labels.[] El valor de resource.labels.project_id se usa como valor de una etiqueta con la clave project_id en target.resource.attribute.labels.
resource.labels.revision_name target.resource.attribute.labels.[] El valor de resource.labels.revision_name se usa como valor de una etiqueta con la clave revision_name en target.resource.attribute.labels.
resource.labels.service_name target.resource.attribute.labels.[] El valor de resource.labels.service_name se usa como valor de una etiqueta con la clave service_name en target.resource.attribute.labels.
resource.type target.resource.resource_subtype Se usa el valor de resource.type del registro sin procesar.
severity security_result.severity Si el valor de severity coincide con Info (sin distinguir entre mayúsculas y minúsculas), el campo de UDM se asigna a INFORMATIONAL.
textPayload additional.fields.[] El valor de textPayload se usa como valor de una etiqueta con la clave Textpayload en additional.fields.
timestamp metadata.event_timestamp El valor de timestamp del registro sin procesar se analiza como una marca de tiempo.
timestamp timestamp El valor de timestamp del registro sin procesar se analiza como una marca de tiempo. Determinado por la lógica del analizador en función de la presencia de determinados campos. El valor predeterminado es GENERIC_EVENT. Si has_principal_ip, has_target_ip y httpRequest.protocol coinciden con HTTP, se define como NETWORK_HTTP. Valor fijo establecido en el código fuente GCP_RUN. Valor fijo establecido en el código fuente GCP_RUN. Valor fijo establecido en el código fuente Google Cloud Platform. Valor fijo establecido en el código fuente GOOGLE_CLOUD_PLATFORM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.