Esta página se ha traducido con Cloud Translation API.

Cloud Logging

En este documento se explica cómo integrar Cloud Logging con SOAR de Google Security Operations.

Versión de la integración: 1.0

Antes de empezar

Para usar la integración, necesitas una Google Cloud cuenta de servicio. Puedes usar una cuenta de servicio que ya tengas o crear una.

Crear una cuenta de servicio

Para obtener instrucciones sobre cómo crear una cuenta de servicio, consulta el artículo Crear cuentas de servicio.

Si usas una cuenta de servicio para autenticarte en Google Cloud, puedes crear una clave de cuenta de servicio en JSON y proporcionar el contenido del archivo JSON descargado al configurar los parámetros de integración.

Por motivos de seguridad, te recomendamos que utilices direcciones de correo de identidad de carga de trabajo en lugar de una clave de cuenta de servicio. Para obtener más información sobre las identidades de carga de trabajo, consulta Identidades de cargas de trabajo.

Integrar Cloud Logging con Google SecOps SOAR

La integración de Cloud Logging requiere los siguientes parámetros:

Parámetro	Descripción
`Workload Identity Email`	Optional La dirección de correo del cliente de tu identidad de carga de trabajo. Puede configurar este parámetro o el parámetro `User's Service Account`. Para suplantar la identidad de cuentas de servicio con la dirección de correo de identidad de carga de trabajo, asigna el rol `Service Account Token Creator` a tu cuenta de servicio. Para obtener más información sobre las identidades de carga de trabajo y cómo trabajar con ellas, consulta Identidades de cargas de trabajo.
`User's Service Account`	Optional El contenido del archivo JSON de la clave de la cuenta de servicio. Puede configurar este parámetro o el parámetro `Workload Identity Email`. Para configurar este parámetro, proporcione todo el contenido del archivo JSON de la clave de la cuenta de servicio que descargó al crear una cuenta de servicio. Para obtener más información sobre el uso de cuentas de servicio como método de autenticación, consulta el artículo Resumen de las cuentas de servicio.
`Quota Project ID`	Optional El ID del proyecto que usas para las APIs y la facturación. Google Cloud Google Cloud Para usar este parámetro, debe conceder el rol `Service Usage Consumer` a su cuenta de servicio. La integración adjunta este valor de parámetro a todas las solicitudes de la API. Si no asignas ningún valor a este parámetro, la integración obtiene el ID del proyecto de cuota de tu cuenta de servicio de Google Cloud .
`Organization ID`	Optional El ID de la organización que se va a usar en la integración. Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud .
`Project ID`	Optional El ID del proyecto que se va a usar en la integración. Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud .
`Verify SSL`	Obligatorio Si se selecciona, la integración verifica que el certificado SSL para conectarse a Cloud Logging sea válido. Esta opción está seleccionada de forma predeterminada.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

La integración de Cloud Logging incluye las siguientes acciones:

Ejecutar consulta
Ping

Ejecutar consulta

Usa la acción Ejecutar consulta para ejecutar consultas personalizadas en Cloud Logging.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Ejecutar consulta requiere los siguientes parámetros:

Parámetro	Descripción
`Project ID`	Optional El ID del proyecto que se va a usar en la integración. Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud .
`Organization ID`	Optional El ID de la organización que se va a usar en la integración. Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud .
`Query`	Obligatorio Una consulta para encontrar los registros.
`Time Frame`	Optional Periodo del que se obtendrán los resultados. Si selecciona `Custom`, también debe configurar el parámetro `Start Time`. Estos son los valores posibles: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` El valor predeterminado es `Last Hour`.
`Start Time`	Optional Hora de inicio para obtener resultados. Este parámetro es obligatorio si ha seleccionado la opción `Custom` en el parámetro `Time Frame`. Para configurar este parámetro, usa el formato ISO 8601.
`End Time`	Optional Hora de finalización para obtener los resultados. Si no asigna ningún valor a este parámetro y selecciona la opción `Custom` para el parámetro `Time Frame`, la acción usará la hora actual como hora de finalización. Para configurar este parámetro, usa el formato ISO 8601.
`Max Results To Return`	Optional Número máximo de resultados que se devolverán. El valor predeterminado es 50.

Resultados de la acción

La acción Ejecutar consulta proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Ejecutar consulta:

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]

Mensajes de salida

La acción Ejecutar consulta proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully executed query "QUERY" in Cloud Logging.` `No results were found for the provided query.`	La acción se ha realizado correctamente.
`Error executing action "Execute Query". Reason: ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

La acción se ha realizado correctamente.

Error executing action "Execute Query". Reason:
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar consulta:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ping

Usa la acción Ping para probar la conectividad con Cloud Logging.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de la secuencia de comandos	Disponible

Mensajes de salida

La acción Ping proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the Cloud Logging server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the Cloud Logging server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the Cloud Logging server! Error is ERROR_REASON`	No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the Cloud Logging server! Error is
      ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.