Se usó la API de Cloud Translation para traducir esta página.

Trabaja con espacios de nombres de recursos

Cuando buscas un recurso en Google Security Operations, por ejemplo, mediante una dirección IP o un nombre de host, puedes ver toda la actividad asociada con ese recurso. A veces, hay varios elementos asociados a la misma dirección IP o nombre de host (por ejemplo, a partir de asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacio de nombres de elementos te permite clasificar categorías de elementos que comparten un entorno de red o espacio de nombres común y, luego, realizar búsquedas de esos elementos en la interfaz de usuario de Google Security Operations según su espacio de nombres. Por ejemplo, puedes crear espacios de nombres para redes en la nube, segmentación corporativa frente a producción, redes de combinación y adquisición, etcétera.

Crea y asigna un espacio de nombres a los datos

Todos los recursos tienen un espacio de nombres que se define automáticamente o se configura de forma manual. Si no se proporciona ningún espacio de nombres en los registros, se asocia un espacio de nombres default con los recursos etiquetados como sin etiquetar en la IU de Google Security Operations. Los registros transferidos a Google Security Operations antes de la compatibilidad con el espacio de nombres se etiquetan de forma implícita como parte del espacio de nombres predeterminado o sin etiquetar.

Puedes configurar los espacios de nombres con lo siguiente:

Versión para Linux de Google Security Operations Forwarder
Algunos de los analizadores de normalización (por ejemplo, Google Cloud) pueden propagar automáticamente el espacio de nombres (para Google Cloud, según los identificadores del proyecto y de la VPC).
API de transferencia de Google Security Operations.
Administración de feeds de operaciones de seguridad de Google.

Espacios de nombres en la IU de Google Security Operations

Verás el espacio de nombres adjunto a tus recursos en toda la IU de Google Security Operations, en especial cuando haya una lista de recursos, entre los que se incluye lo siguiente:

Búsqueda de UDM
Análisis de registro sin procesar
Estadísticas empresariales
Vistas de detección

Barra de búsqueda

Cuando usas la barra de búsqueda, se muestran los espacios de nombres asociados con cada recurso. Si seleccionas un recurso dentro de un espacio de nombres específico, se abrirá en la vista de recursos y se mostrarán las demás actividades asociadas con el mismo espacio de nombres.

Cualquier recurso que no esté asociado con un espacio de nombres se asigna al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista de recursos

En la vista Asset, el espacio de nombres se indica en el título del recurso, en la parte superior de la página. Si haces clic en la flecha hacia abajo para seleccionar el menú desplegable, puedes seleccionar los otros espacios de nombres asociados con el recurso.

Vista del recurso con espacios de nombres Vista de recursos con espacios de nombres

Vistas de dirección IP, dominio y hash

En la interfaz de usuario de Google Security Operations, los espacios de nombres se muestran en cualquier lugar en el que se haga referencia a un recurso (excepto en el espacio de nombres predeterminado o sin etiquetar), incluso dentro de las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista de dirección IP, los espacios de nombres se incluyen en la pestaña de recursos y en el gráfico de prevalencia.

Etiquetas de transferencia

Si quieres acotar la búsqueda, puedes usar etiquetas de transferencia para configurar feeds independientes. Para obtener una lista completa de las etiquetas de transferencia admitidas, consulta Analizadores predeterminados admitidos.

Ejemplos: Tres formas de agregar un espacio de nombres a los registros

En los siguientes ejemplos, se muestran tres formas diferentes de agregar un espacio de nombres a los registros que transfieres a tu cuenta de Google Security Operations.

Asigna un espacio de nombres con Google Security Operations Forwarder

Para configurar un espacio de nombres, puedes agregarlo al archivo de configuración de Forwarder de Google Security Operations como un espacio de nombres específico de reenviador o un espacio de nombres específico de colector. En el siguiente ejemplo de configuración de reenvío, se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros que se originan en WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros que se originan en NIX_SYSTEM incluyen la etiqueta del espacio de nombres CORPORATE.

Esto configura un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o esto es por diseño), Google recomienda crear varios recopiladores para la misma fuente de registro que filtra los registros en sus espacios de nombres respectivos usando expresiones regulares.

Asigna un espacio de nombres con la API de transferencia

También puedes configurar un espacio de nombres cuando envías tus registros a través del extremo unstructuredlogentries en la API de transferencia de Google Security Operations, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro del cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asigna un espacio de nombres usando la administración de feeds de Google Security Operations

Como se indica en la guía del usuario sobre la administración de feeds, la administración de feeds de Google Security Operations te permite configurar y administrar varias transmisiones de registros en tu usuario de Google Security Operations.

En el siguiente ejemplo, los registros de Office 365 se transferirán con la etiqueta de espacio de nombres FORWARDER:

Figura 1: Configuración de la administración del feed con la etiqueta de espacio de nombres FORWARDER