Cómo trabajar con espacios de nombres de activos

Se admite en los siguientes países:

Cuando buscas un recurso en Google Security Operations, por ejemplo, con una dirección IP o un nombre de host, puedes ver toda la actividad asociada con ese recurso. A veces, hay varios recursos asociados con la misma dirección IP o el mismo nombre de host (por ejemplo, de asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacio de nombres de los recursos te permite clasificar categorías de recursos que comparten un entorno de red o espacio de nombres común y, luego, realizar búsquedas de esos recursos dentro de la interfaz de usuario de Google Security Operations según su espacio de nombres. Por ejemplo, podrías crear espacios de nombres para las redes en la nube, corporativo y de producción segmentación, fusión y adquisición, etc.

Crea y asigna un espacio de nombres a los datos

Todos los recursos tienen un espacio de nombres que se define automáticamente o de forma manual configurado. Si no se proporciona un espacio de nombres en los registros, se asocia un espacio de nombres predeterminado con los recursos que se etiquetan como sin etiqueta en la IU de Operaciones de seguridad de Google. Los registros transferidos a Google Security Operations antes de la compatibilidad con espacios de nombres se etiquetan de forma implícita como parte del espacio de nombres predeterminado o sin etiqueta.

Puedes configurar los espacios de nombres con lo siguiente:

Espacios de nombres en la IU de Google Security Operations

Verás el espacio de nombres adjunto a tus activos en toda la IU de Google Security Operations, sobre todo cuando haya una lista de activos, incluidos los siguientes:

  • Búsqueda de UDM
  • Análisis de registros sin procesar
  • Estadísticas empresariales
  • Vistas de detección

Cuando usas la barra de búsqueda, los espacios de nombres asociados con se muestra cada recurso. Se abrirá la selección de un recurso dentro de un espacio de nombres específico en la vista Recursos para mostrar las demás actividades asociadas espacio de nombres.

Cualquier recurso que no esté asociado con un espacio de nombres se asigna al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista de recursos

En la vista de activos, el espacio de nombres se indica en el título del activo en la parte superior de la página. Si haces clic en la flecha hacia abajo para seleccionar el menú desplegable, puedes elegir los otros espacios de nombres asociados con el recurso.

Vista del recurso con espacios de nombres Vista de recursos con espacios de nombres

Vistas de dirección IP, dominio y hash

En la interfaz de usuario de Google Security Operations, los espacios de nombres se muestran en cualquier lugar en el que se encuentre un recurso. (excepto en el espacio de nombres predeterminado o sin etiquetar), incluso en las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista de dirección IP, los espacios de nombres se incluyen en la pestaña de recursos y en el gráfico de prevalencia.

Etiquetas de transferencia

Si quieres acotar la búsqueda, puedes usar etiquetas de transferencia para configurar feeds independientes. Para obtener una lista completa de las etiquetas de transferencia admitidas, consulta Analizadores predeterminados admitidos.

Ejemplos: tres formas de agregar un espacio de nombres a los registros

En los siguientes ejemplos, se muestran tres formas diferentes de agregar un espacio de nombres a los registros que transfieres a tu cuenta de Google Security Operations.

Asigna un espacio de nombres con Google Security Operations Forwarder

Para configurar un espacio de nombres, puedes agregarlo al archivo de configuración de Forwarder de Google Security Operations como un espacio de nombres específico de reenviador o un espacio de nombres específico de colector. En el siguiente ejemplo de configuración de reenvío, se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros que provienen de WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros que provienen de NIX_SYSTEM incluyen la etiqueta de espacio de nombres CORPORATE.

Esto configura un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o esto es por diseño), Google recomienda crear varios recopiladores para la misma fuente de registro que filtra los registros en sus espacios de nombres respectivos usando expresiones regulares.

Asigna un espacio de nombres con la API de transferencia

También puedes configurar un espacio de nombres cuando envías tus registros a través del extremo unstructuredlogentries dentro de la API de transferencia de Google Security Operations, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro de cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asigna un espacio de nombres con la administración de feeds de Google Security Operations

Como se indica en la Guía del usuario de la administración de feeds, la administración de feeds de Google Security Operations te permite configurar y administrar varias transmisiones de registros dentro de tu inquilino de Google Security Operations.

En el siguiente ejemplo, los registros de Office 365 se transferirán con la etiqueta de espacio de nombres FORWARDER:

add_feed_namespace

Figura 1: Configuración de la administración de feeds con la etiqueta de espacio de nombres FORWARDER