Se usó la API de Cloud Translation para traducir esta página.

Cómo trabajar con espacios de nombres de recursos

Se admite en los siguientes países:

Google SecOps SIEM

Cuando buscas un recurso en Google Security Operations, por ejemplo, con una dirección IP o un nombre de host, puedes ver toda la actividad asociada con ese recurso. A veces, hay varios recursos asociados con la misma dirección IP o el mismo nombre de host (por ejemplo, de asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacio de nombres de los recursos te permite clasificar categorías de recursos que comparten un entorno de red o espacio de nombres común y, luego, realizar búsquedas de esos recursos dentro de la interfaz de usuario de Google Security Operations según su espacio de nombres. Por ejemplo, puedes crear espacios de nombres para redes de nube, segmentación de producción y corporativa, redes de fusiones y adquisiciones, etcétera.

Crea y asigna un espacio de nombres a los datos

Todos los recursos tienen un espacio de nombres que se define automáticamente o se configura manualmente. Si no se proporciona un espacio de nombres en los registros, se asocia un espacio de nombres predeterminado con los recursos que se etiquetan como sin etiqueta en la IU de Operaciones de seguridad de Google. Los registros transferidos a Google Security Operations antes de la compatibilidad con los espacios de nombres se etiquetan de forma implícita como parte del espacio de nombres predeterminado o sin etiqueta.

Puedes configurar espacios de nombres con lo siguiente:

Versión de Linux del reenviador de Google Security Operations.
Algunos de los analizadores de normalización (por ejemplo, para Google Cloud) pueden propagar automáticamente el espacio de nombres (para Google Cloud, según los identificadores de proyecto y VPC).
API de transferencia de Google Security Operations.
Administración de feeds de Google Security Operations.

Espacios de nombres en la IU de Google Security Operations

Verás el espacio de nombres adjunto a tus recursos en toda la IU de Google Security Operations, sobre todo cuando haya una lista de recursos, incluidos los siguientes:

Búsqueda de UDM
Análisis de registros sin procesar
Estadísticas empresariales
Vistas de detección

Barra de búsqueda

Cuando usas la barra de búsqueda, se muestran los espacios de nombres asociados con cada recurso. Si seleccionas un activo dentro de un espacio de nombres específico, se abrirá en la vista de activos, donde se mostrarán las otras actividades asociadas con el mismo espacio de nombres.

Cualquier recurso que no esté asociado con un espacio de nombres se asignará al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista de recursos

En la vista de activos, el espacio de nombres se indica en el título del activo en la parte superior de la página. Si haces clic en la flecha hacia abajo para seleccionar el menú desplegable, puedes elegir los otros espacios de nombres asociados con el recurso.

Vista de recursos con espacios de nombres

Vistas de dirección IP, dominio y hash

En toda la interfaz de usuario de Google Security Operations, los espacios de nombres se muestran en cualquier lugar en el que se hace referencia a un activo (excepto por el espacio de nombres predeterminado o sin etiqueta), incluso en las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista Dirección IP, los espacios de nombres se incluyen en la pestaña de recursos y en el gráfico de prevalencia.

Etiquetas de transferencia

Para acotar aún más la búsqueda, puedes usar etiquetas de transferencia para configurar feeds independientes. Para obtener una lista completa de las etiquetas de transferencia compatibles, consulta Sintetizadores predeterminados compatibles.

Ejemplos: tres formas de agregar un espacio de nombres a los registros

En los siguientes ejemplos, se ilustran tres formas diferentes de agregar un espacio de nombres a los registros que transfieres a tu cuenta de Google Security Operations.

Asigna un espacio de nombres con el reenviador de Google Security Operations

Para configurar un espacio de nombres, agrégalo al archivo de configuración del reenviador de operaciones de seguridad de Google como un espacio de nombres específico del reenviador o un espacio de nombres específico del recopilador. En el siguiente ejemplo de configuración de reenvío, se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros que provienen de WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros que provienen de NIX_SYSTEM incluyen la etiqueta de espacio de nombres CORPORATE.

Esto establece un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o esto es de forma predeterminada), Google recomienda crear varios recopiladores para la misma fuente de registro que filtre los registros en su espacio de nombres respectivo con expresiones regulares.

Asigna un espacio de nombres con la API de transferencia

También puedes configurar un espacio de nombres cuando envías tus registros a través del extremo unstructuredlogentries dentro de la API de transferencia de Google Security Operations, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro de cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asigna un espacio de nombres con la administración de feeds de Google Security Operations

Como se indica en la Guía del usuario de administración de feeds, la administración de feeds de Google Security Operations te permite configurar y administrar varias transmisiones de registros dentro de tu inquilino de Google Security Operations.

En el siguiente ejemplo, los registros de Office 365 se transferirán con la etiqueta de espacio de nombres FORWARDER:

Figura 1: Configuración de la administración de feeds con la etiqueta de espacio de nombres FORWARDER