Se usó la API de Cloud Translation para traducir esta página.

Trabaja con espacios de nombres de recursos

Cuando buscas un recurso en Google Security Operations, por ejemplo, mediante una dirección IP o un hostname, podrás ver toda la actividad asociada con ese recurso. A veces, hay varios recursos asociados a la misma dirección IP o nombre de host (por ejemplo, de las asignaciones de direcciones IP RFC 1918 superpuestas en segmentos de red diferentes).

La función de ritmo de nombres de los recursos te permite clasificar sus categorías comparten un entorno de red común, o espacio de nombres, y realizan búsquedas para esos recursos en la interfaz de usuario de Google Security Operations en función de su espacio de nombres. Por ejemplo, podrías crear espacios de nombres para las redes en la nube, corporativo y de producción segmentación, fusión y adquisición, etc.

Crea y asigna un espacio de nombres a los datos

Todos los recursos tienen un espacio de nombres que se define automáticamente o de forma manual configurado. Si no se proporciona ningún espacio de nombres en los registros, se asocia un espacio de nombres predeterminado con los recursos etiquetados sin etiquetar en la IU de Google Security Operations. Los registros transferidos a Google Security Operations antes del espacio de nombres se etiquetan de forma implícita como parte del espacio de nombres predeterminado o sin etiquetar.

Puedes configurar los espacios de nombres con lo siguiente:

Versión para Linux de Google Security Operations Forwarder
Algunos de los analizadores de normalización (por ejemplo, Google Cloud) pueden propagar automáticamente el espacio de nombres (para Google Cloud, según los identificadores del proyecto y de la VPC).
API de transferencia de Google Security Operations.
Administración de feeds de operaciones de seguridad de Google.

Espacios de nombres en la IU de Google Security Operations

Verás el espacio de nombres adjunto a tus recursos en toda la IU de Google Security Operations. especialmente si hay una lista de recursos, como los siguientes:

Búsqueda de UDM
Análisis de registro sin procesar
Estadísticas empresariales
Vistas de detección

Barra de búsqueda

Cuando usas la barra de búsqueda, los espacios de nombres asociados con se muestra cada recurso. Se abrirá la selección de un recurso dentro de un espacio de nombres específico en la vista Recursos para mostrar las demás actividades asociadas espacio de nombres.

Cualquier recurso que no esté asociado con un espacio de nombres se asigna al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista de recursos

En la vista Asset, el espacio de nombres se indica en el título del recurso, en la parte superior. de la página. Si seleccionas el menú desplegable haciendo clic en la flecha hacia abajo, puedes seleccionar los otros espacios de nombres asociados con el recurso.

Vista del recurso con espacios de nombres Vista de recursos con espacios de nombres

Vistas de dirección IP, dominio y hash

En la interfaz de usuario de Google Security Operations, los espacios de nombres se muestran en cualquier lugar en el que se encuentre un recurso. (excepto en el espacio de nombres predeterminado o sin etiquetar), incluso en las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista de dirección IP, los espacios de nombres se incluyen en en la pestaña de recursos y en el gráfico de prevalencia.

Etiquetas de transferencia

Si quieres acotar la búsqueda, puedes usar etiquetas de transferencia para configurar feeds independientes. Para obtener una lista completa de las etiquetas de transferencia admitidas, consulta Analizadores predeterminados admitidos.

Ejemplos: Tres formas de agregar un espacio de nombres a los registros

En los siguientes ejemplos, se muestran tres formas diferentes de agregar un espacio de nombres a los registros que transfieres a tu cuenta de Google Security Operations.

Asigna un espacio de nombres con Google Security Operations Forwarder

Para configurar un espacio de nombres, puedes agregarlo al archivo de configuración de Forwarder de Google Security Operations como un espacio de nombres específico de reenviador o un espacio de nombres específico de colector. En el siguiente ejemplo de configuración de reenvío, se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros que se originan en WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros que se originan en NIX_SYSTEM incluyen la etiqueta del espacio de nombres CORPORATE.

Esto configura un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o esto es por diseño), Google recomienda crear varios recopiladores para la misma fuente de registro que filtra los registros en sus espacios de nombres respectivos usando expresiones regulares.

Asigna un espacio de nombres con la API de transferencia

También puedes configurar un espacio de nombres cuando envías tus registros a través del extremo unstructuredlogentries en la API de transferencia de Google Security Operations, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro del cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asigna un espacio de nombres usando la administración de feeds de Google Security Operations

Como se indica en la guía del usuario sobre la administración de feeds, la administración de feeds de Google Security Operations te permite configurar y administrar varias transmisiones de registros en tu usuario de Google Security Operations.

En el siguiente ejemplo, los registros de Office 365 se transferirán con la etiqueta de espacio de nombres FORWARDER:

Figura 1: Configuración de la administración del feed con la etiqueta de espacio de nombres FORWARDER