Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Cloud Compute

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo configurar la Google Cloud exportación de registros de Compute a Google Security Operations con Cloud Storage. El analizador extrae campos, normaliza el campo de mensaje y asigna los datos extraídos al esquema del modelo de datos unificado (UDM) para lograr una representación coherente de los eventos de seguridad. Controla varios formatos de registro, incluidos los mensajes similares a syslog y los pares clave-valor, y clasifica los eventos en función de campos extraídos, como type y action.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de que Compute esté configurado y activo en tu Google Cloud entorno.
Asegúrate de tener acceso con privilegios a Google Cloud.

Crea un bucket de Google Cloud Storage.

Accede a la consola de Google Cloud.
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:
1. En la sección Primeros pasos, haz lo siguiente:
  1. Ingresa un nombre único que cumpla con los requisitos de nombres de bucket, por ejemplo, compute-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket existente.
    1. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
    2. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
    1. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    Nota: Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
    1. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público está bloqueada.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.

Configura la Google Cloud exportación de registros de procesamiento

En la consola de Google Cloud, ve a Logging > Enrutador de registros.
Haz clic en Crear receptor.
Proporciona los siguientes detalles:
- Nombre del receptor: Proporciona un nombre significativo, por ejemplo, Compute-Logs-Sink.
- Sink Destination: Selecciona Cloud Storage .
- Sink Destination: Selecciona Cloud Storage y, luego, ingresa el URI del bucket, por ejemplo, gs://<your-bucket-name>/compute-logs.
- Filtro de registro: Establece filtros para capturar Google Cloud registros de Compute de la siguiente manera:
  - Nombre y tipo de registro:
```
logName="*compute*"
```
  - Campos relacionados con la red (como direcciones IP y puertos):
```
jsonPayload.connection.dest_ip="*" OR jsonPayload.connection.src_ip="*"
```
  - Detalles de la instancia:
```
jsonPayload.dest_instance.project_id="*"
jsonPayload.src_instance.project_id="*"
```
  - Detalles relacionados con la seguridad:
```
jsonPayload.rule_details.action="ALLOW" OR jsonPayload.rule_details.action="BLOCK"
```
Haz clic en Crear.

Configura los permisos de Cloud Storage

Ve a IAM > IAM y administración > Cuentas de servicio.
Busca la cuenta de servicio de Cloud Logging; por ejemplo, service-account@logging.iam.gserviceaccount.com.
Otórgale el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir Google Cloud registros de Compute

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Google Cloud Registros de procesamiento.
Selecciona Google Cloud Storage como el Tipo de fuente.
Selecciona GCP Compute como el Tipo de registro.
Haz clic en Obtener cuenta de servicio como la cuenta de servicio de Chronicle.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Google Cloud URL del bucket de almacenamiento en formato gs://my-bucket/<value>.
- URI Is A: Selecciona Directorio que incluye subdirectorios.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
addr	read_only_udm.principal.ip	Se fusiona en la lista principal de direcciones IP si el campo no está vacío o no es "?".
jsonPayload.connection.dest_ip	read_only_udm.target.ip	Se fusionan en la lista de direcciones IP de destino si el campo existe.
jsonPayload.connection.dest_port	read_only_udm.target.port	Se convierte en una cadena, luego en un número entero y se asigna si no se producen errores durante la conversión.
jsonPayload.connection.protocol	read_only_udm.network.ip_protocol	Se convierte en una cadena y, luego, en un número entero. Se usa para determinar el protocolo IP (TCP, UDP, etc.) con una tabla de búsqueda y se asigna si no se producen errores durante la conversión.
jsonPayload.connection.src_ip	read_only_udm.principal.ip	Se fusiona en la lista de direcciones IP principal si el campo existe.
jsonPayload.connection.src_port	read_only_udm.principal.port	Se convierte en una cadena, luego en un número entero y se asigna si no se producen errores durante la conversión.
jsonPayload.dest_instance.project_id	read_only_udm.target.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.region	read_only_udm.target.location.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.vm_name	read_only_udm.target.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.zone	read_only_udm.target.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_vpc.project_id	read_only_udm.target.cloud.vpc.product_object_id	Se usa como condición para asignar campos relacionados.
jsonPayload.dest_vpc.subnetwork_name	read_only_udm.target.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.instance.project_id	read_only_udm.target.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.region	read_only_udm.target.location.name	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.vm_name	read_only_udm.target.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.zone	read_only_udm.target.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.message	read_only_udm.metadata.product_event_type, read_only_udm.principal.application, read_only_udm.target.process.pid, read_only_udm.target.user.userid, read_only_udm.principal.hostname, read_only_udm.target.process.command_line, read_only_udm.security_result.description, read_only_udm.principal.process.file.full_path	Se analizan y se asignan a diferentes campos según patrones de grok y lógica condicional.
jsonPayload.rule_details.action	read_only_udm.security_result.action	Se usa para determinar la acción del resultado de seguridad (PERMITIR/BLOQUEAR) y se asigna.
jsonPayload.rule_details.direction	read_only_udm.network.direction	Se usa para determinar la dirección de la red (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) y asignarla.
jsonPayload.rule_details.priority	read_only_udm.security_result.priority_details	Se convierte en una cadena y se asigna si no se producen errores durante la conversión.
jsonPayload.rule_details.reference	read_only_udm.security_result.rule_labels.value	Se asigna al valor de la etiqueta de la regla.
jsonPayload.src_instance.project_id	read_only_udm.principal.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.region	read_only_udm.principal.location.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.vm_name	read_only_udm.principal.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.zone	read_only_udm.principal.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_vpc.project_id	read_only_udm.principal.cloud.vpc.product_object_id	Se usa como condición para asignar campos relacionados.
jsonPayload.src_vpc.subnetwork_name	read_only_udm.principal.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.vpc.project_id	read_only_udm.target.cloud.vpc.product_object_id	Se asigna de forma condicional si existe jsonPayload.vpc.project_id.
jsonPayload.vpc.subnetwork_name	read_only_udm.target.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.vpc.project_id.
logName	read_only_udm.security_result.category_details	Se asignan directamente.
resource.labels.instance_id	read_only_udm.principal.resource.product_object_id, read_only_udm.principal.asset_id	Se asignan de forma condicional. Si el tipo es "PROCTITLE", se usa para construir el ID del activo.
resource.labels.location	read_only_udm.principal.location.name	Se asigna de forma condicional si el campo existe.
resource.labels.project_id	read_only_udm.metadata.product_deployment_id	Se asigna de forma condicional si el campo existe.
resource.labels.zone	read_only_udm.principal.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si el campo existe.
resource.type	read_only_udm.metadata.event_type	Se usa para determinar el tipo de evento y asignarlo.
timestamp	read_only_udm.metadata.event_timestamp	Se asignan directamente.
tipo	read_only_udm.metadata.product_event_type, read_only_udm.metadata.event_type, read_only_udm.extensions.auth.type	Se usa para determinar el tipo de evento, el tipo de evento del producto y el tipo de autenticación, y se asigna según corresponda.
	read_only_udm.metadata.event_type	La lógica establece el tipo de evento según el campo "type" y otras condiciones. Si no se encuentra ninguna coincidencia específica, se establece de forma predeterminada en "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Valor constante "GCP_COMPUTE".
	read_only_udm.metadata.vendor_name	Valor constante “Google Cloud Platform”.
	read_only_udm.metadata.product_name	Valor constante “Google Cloud Platform”.
	read_only_udm.security_result.rule_labels.key	Valor constante "Reference".
	read_only_udm.target.cloud.vpc.resource_type	Se establece de forma condicional en “VPC_NETWORK” si existe jsonPayload.instance.project_id o jsonPayload.dest_vpc.project_id.
	read_only_udm.target.resource.attribute.cloud.environment	Se establece de forma condicional en "GOOGLE_CLOUD_PLATFORM" si existen jsonPayload.instance.project_id, jsonPayload.dest_vpc.project_id o jsonPayload.src_vpc.project_id.
	read_only_udm.principal.administrative_domain	Se asigna a partir del campo "Account Domain" extraído del campo "kv_data".
	read_only_udm.principal.user.user_display_name	Se asigna desde el campo "Account Name" extraído del campo "kv_data".
	read_only_udm.target.resource.name	Se asigna desde el campo "Nombre del objeto" extraído del campo "kv_data".
	read_only_udm.target.resource.type	Se asigna a partir del campo "Object Type" extraído del campo "kv_data".
	read_only_udm.principal.process.pid	Se asigna desde el campo "ID de proceso" extraído del campo "kv_data".
	read_only_udm.target.user.windows_sid	Se asigna desde el campo "Security ID" extraído del campo "kv_data".
	read_only_udm.network.session_id	Se asigna desde el campo "auid".

Cambios

2024-06-18

Mejora:

Se asignó "file" a "principal.file.names".
Se asignó "function" a "principal.resource.attribute.labels".
Se asignó “line” a “principal.resource.attribute.labels”.
Se asignó "timestamp" a "event_timestamp".

2023-02-24

Corrección de errores:

Se agregó la asignación de "asset_id" para facilitar la búsqueda en la IU: "asset:resource.labels.instance_id" se asigna a "principal.asset_id".

2022-06-16

Mejora:

Se agregó la asignación para los siguientes campos nuevos: jsonPayload.Message como syslog.
Nombre del proceso a principal.application.
ID de proceso a principal.process.pid.
Dominio de la cuenta a principal.administrative_domain.
Nombre de la cuenta a principal.user.user_display_name.
Nombre del objeto a target.resource.name.
Tipo de objeto a target.resource.type.
ID de seguridad para target.user.windows_sid.
addr a principal.ip.
auid a network.session_id.
Se asignó "LINUX - %{type}" para los registros de Linux y "WINDOWS event log" para el registro de Windows a metadata.product_event_type.
pid a target.process.pid.
acct a target.user.userid.
exe a target.process.command_line.
file_path a principal.process.file.full_path.
Se cambió la asignación de desc de metadata.description a security_result.description.

2022-05-23

Mejora:

Se agregó la asignación para los siguientes campos nuevos:
jsonPayload.message como syslog.
resource.labels.zone a principal.resource.attribute.cloud.availability_zone.
resource.labels.location a principal.location.name.
resource.labels.project_id a metadata.product_deployment_id.
resource.labels.instance_id a principal.resource.product_object_id.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.