Recopilar registros de Google Cloud Compute

Disponible en:

En este documento se explica cómo configurar la exportación de registros de Compute a Google Security Operations mediante Cloud Storage. Google Cloud El analizador extrae campos, normaliza el campo de mensaje y asigna los datos extraídos al esquema del modelo de datos unificado (UDM) para que los eventos de seguridad se representen de forma coherente. Gestiona varios formatos de registro, incluidos los mensajes de tipo syslog y los pares clave-valor, y clasifica los eventos en función de los campos extraídos, como type y action.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Compute está configurado y activo en tu entorno de Google Cloud .
  • Acceso privilegiado a Google Cloud.

Crear un segmento de Google Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduzca un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, compute-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este contenedor.

        1. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.
        2. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

        1. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.
        1. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros de Google Cloud Compute

  1. En la Google Cloud consola, ve a Logging > Log Router.
  2. Haz clic en Crear sumidero.

  3. Proporciona los siguientes datos:

    • Nombre del sumidero: proporciona un nombre descriptivo, como Compute-Logs-Sink.
    • Destino del sumidero: selecciona Cloud Storage .
    • Destino del receptor: selecciona Cloud Storage e introduce el URI del segmento. Por ejemplo, gs://<your-bucket-name>/compute-logs.

    • Filtro de registro: define filtros para capturar Google Cloud registros de proceso de la siguiente manera:

      • Nombre y tipo de registro:

        logName="*compute*"

      • Campos relacionados con la red (como direcciones IP y puertos):

        jsonPayload.connection.dest_ip="*" OR jsonPayload.connection.src_ip="*"

      • Detalles de la instancia:

        jsonPayload.dest_instance.project_id="*"
jsonPayload.src_instance.project_id="*"

      • Detalles relacionados con la seguridad:

        jsonPayload.rule_details.action="ALLOW" OR jsonPayload.rule_details.action="BLOCK"

  4. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM > IAM y administración > Cuentas de servicio.
  2. Busca la cuenta de servicio de Cloud Logging. Por ejemplo, service-account@logging.iam.gserviceaccount.com.
  3. Asigna el rol roles/storage.admin al usuario en el contenedor.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el Google Cloud feed de cálculo

  1. Haz clic en el paquete Plataforma de computación de Google Cloud.
  2. Busca el tipo de registro GCP Compute Feed y haz clic en Add new feed (Añadir nuevo feed).

  3. Especifique los valores de los siguientes campos:

    • Tipo de origen: Google Cloud Storage V2.
    • URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://compute-context-logs.
    • Opción de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
  • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.
  • Cuenta de servicio de Chronicle: copia la cuenta de servicio. La necesitarás para añadir permisos en el segmento a esta cuenta de servicio y permitir que Google SecOps lea o elimine datos del segmento.

Opciones avanzadas

  • Nombre del feed: valor rellenado automáticamente que identifica el feed.
  • Espacio de nombres del recurso: espacio de nombres asociado al feed.
  • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
  1. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
addr read_only_udm.principal.ip Se combina con la lista de direcciones IP principales si el campo no está vacío o contiene "?".
jsonPayload.connection.dest_ip read_only_udm.target.ip Se combina con la lista de direcciones IP de destino si el campo existe.
jsonPayload.connection.dest_port read_only_udm.target.port Se convierte en una cadena y, después, en un número entero. Se asigna si no se produce ningún error durante la conversión.
jsonPayload.connection.protocol read_only_udm.network.ip_protocol Se ha convertido en cadena y, después, en número entero. Se usa para determinar el protocolo IP (TCP, UDP, etc.) mediante una tabla de consulta y se asigna si no se producen errores durante la conversión.
jsonPayload.connection.src_ip read_only_udm.principal.ip Se combina con la lista principal de direcciones IP si el campo existe.
jsonPayload.connection.src_port read_only_udm.principal.port Se convierte en una cadena y, después, en un número entero. Se asigna si no se produce ningún error durante la conversión.
jsonPayload.dest_instance.project_id read_only_udm.target.resource.product_object_id Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.region read_only_udm.target.location.name Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_vpc.project_id read_only_udm.target.cloud.vpc.product_object_id Se usa como condición para asignar campos relacionados.
jsonPayload.dest_vpc.subnetwork_name read_only_udm.target.cloud.vpc.name Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.instance.project_id read_only_udm.target.resource.product_object_id Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.region read_only_udm.target.location.name Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.vm_name read_only_udm.target.resource.attribute.cloud.project.name Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.zone read_only_udm.target.resource.attribute.cloud.availability_zone Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.message read_only_udm.metadata.product_event_type, read_only_udm.principal.application, read_only_udm.target.process.pid, read_only_udm.target.user.userid, read_only_udm.principal.hostname, read_only_udm.target.process.command_line, read_only_udm.security_result.description, read_only_udm.principal.process.file.full_path Analizados y asignados a diferentes campos en función de los patrones grok y la lógica condicional.
jsonPayload.rule_details.action read_only_udm.security_result.action Se usa para determinar la acción del resultado de seguridad (PERMITIR o BLOQUEAR) y se asigna.
jsonPayload.rule_details.direction read_only_udm.network.direction Se usa para determinar la dirección de la red (INBOUND, OUTBOUND o UNKNOWN_DIRECTION) y se asigna.
jsonPayload.rule_details.priority read_only_udm.security_result.priority_details Se convierte en una cadena y se asigna si no se produce ningún error durante la conversión.
jsonPayload.rule_details.reference read_only_udm.security_result.rule_labels.value Se asigna al valor de la etiqueta de la regla.
jsonPayload.src_instance.project_id read_only_udm.principal.resource.product_object_id Se asigna condicionalmente si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.region read_only_udm.principal.location.name Se asigna condicionalmente si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.vm_name read_only_udm.principal.resource.attribute.cloud.project.name Se asigna condicionalmente si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.zone read_only_udm.principal.resource.attribute.cloud.availability_zone Se asigna condicionalmente si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_vpc.project_id read_only_udm.principal.cloud.vpc.product_object_id Se usa como condición para asignar campos relacionados.
jsonPayload.src_vpc.subnetwork_name read_only_udm.principal.cloud.vpc.name Se asigna condicionalmente si existe jsonPayload.src_vpc.project_id.
jsonPayload.vpc.project_id read_only_udm.target.cloud.vpc.product_object_id Se asigna condicionalmente si existe jsonPayload.vpc.project_id.
jsonPayload.vpc.subnetwork_name read_only_udm.target.cloud.vpc.name Se asigna condicionalmente si existe jsonPayload.vpc.project_id.
logName read_only_udm.security_result.category_details Asignado directamente.
resource.labels.instance_id read_only_udm.principal.resource.product_object_id, read_only_udm.principal.asset_id Asignación condicional. Si el tipo es "PROCTITLE", se usa para crear el ID del recurso.
resource.labels.location read_only_udm.principal.location.name Se asigna condicionalmente si el campo existe.
resource.labels.project_id read_only_udm.metadata.product_deployment_id Se asigna condicionalmente si el campo existe.
resource.labels.zone read_only_udm.principal.resource.attribute.cloud.availability_zone Se asigna condicionalmente si el campo existe.
resource.type read_only_udm.metadata.event_type Se usa para determinar el tipo de evento y se asigna.
timestamp read_only_udm.metadata.event_timestamp Asignado directamente.
tipo read_only_udm.metadata.product_event_type, read_only_udm.metadata.event_type, read_only_udm.extensions.auth.type Se usa para determinar el tipo de evento, el tipo de evento de producto y el tipo de autenticación, y se asigna en consecuencia.
read_only_udm.metadata.event_type La lógica define el tipo de evento en función del campo "type" y de otras condiciones. Si no se encuentra ninguna coincidencia específica, se asigna el valor predeterminado "GENERIC_EVENT".
read_only_udm.metadata.log_type Valor constante "GCP_COMPUTE".
read_only_udm.metadata.vendor_name Valor constante "Google Cloud Platform".
read_only_udm.metadata.product_name Valor constante "Google Cloud Platform".
read_only_udm.security_result.rule_labels.key Valor constante "Reference".
read_only_udm.target.cloud.vpc.resource_type Se asigna condicionalmente el valor "VPC_NETWORK" si existe jsonPayload.instance.project_id o jsonPayload.dest_vpc.project_id.
read_only_udm.target.resource.attribute.cloud.environment Se define condicionalmente como "GOOGLE_CLOUD_PLATFORM" si existe jsonPayload.instance.project_id, jsonPayload.dest_vpc.project_id o jsonPayload.src_vpc.project_id.
read_only_udm.principal.administrative_domain Se asigna a partir del campo "Dominio de la cuenta" extraído del campo "kv_data".
read_only_udm.principal.user.user_display_name Se asigna desde el campo "Account Name" (Nombre de cuenta) extraído del campo "kv_data" (datos_clave_valor).
read_only_udm.target.resource.name Se asigna desde el campo "Nombre del objeto" extraído del campo "kv_data".
read_only_udm.target.resource.type Se asigna a partir del campo "Tipo de objeto" extraído del campo "kv_data".
read_only_udm.principal.process.pid Se asigna desde el campo "Process ID" extraído del campo "kv_data".
read_only_udm.target.user.windows_sid Se asigna a partir del campo "ID de seguridad" extraído del campo "kv_data".
read_only_udm.network.session_id Se asigna desde el campo "auid".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.