Esta página foi traduzida pela API Cloud Translation.

Ingerir dados do Google Cloud no Chronicle

Nesta página, mostramos como ativar e desativar a ingestão dos dados do Google Cloud no Chronicle. Com o Chronicle, é possível armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa de meses ou mais de acordo com o período de armazenamento de dados.

Visão geral

Há duas opções para enviar dados do Google Cloud para o Chronicle. A escolha da opção certa depende do tipo de registro.

Opção 1: ingestão direta

Um filtro especial do Cloud Logging pode ser configurado no Google Cloud para enviar tipos de registros específicos ao Chronicle em tempo real. Esses registros são gerados pelos serviços do Google Cloud.

O Chronicle recebe registros mesmo que eles sejam excluídos no nível do projeto no Google Cloud, mas incluídos tanto no filtro de exportação de registros quanto no Google Cloud Logging no nível da organização. Para excluir registros do Chronicle, é necessário atualizar o filtro de exportação de registros do Chronicle no Google Cloud.

Os tipos de registro disponíveis incluem:

Registros de auditoria do Cloud
Cloud NAT
Cloud DNS
Firewall de Próxima Geração do Cloud
Sistema de detecção de intrusões do Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos do Windows
syslog do Linux
Sysmon Linux
Zeek
Google Kubernetes Engine
Daemon de auditoria (auditado)
Apigee
reCAPTCHA Enterprise
Registros do Cloud Run (GCP_RUN)
Firewall de Próxima Geração do Cloud

Para coletar registros de aplicativos do Compute Engine ou do Google Kubernetes Engine (GKE), como Apache, Nginx ou IIS, use a opção 2. Além disso, abra um tíquete de suporte com o Chronicle para enviar feedback para uso futuro como um tipo de registro usando a Opção 1.

Para ver filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para o Chronicle.

Outros metadados do Google Cloud a serem usados como contexto para fins de aprimoramento também podem ser enviados ao Chronicle. Consulte Como exportar metadados de recursos do Google Cloud para o Chronicle para mais detalhes.

Opção 2: Google Cloud Storage

O Cloud Logging pode encaminhar registros para o Cloud Storage, que serão buscados pelo Chronicle de maneira programada.

Para saber detalhes sobre como configurar o Cloud Storage para Chronicle, consulte Gerenciamento de feed: Cloud Storage.

Antes de começar

Antes de ingerir seus dados do Google Cloud na instância do Chronicle, é preciso concluir as etapas a seguir:

Entre em contato com seu representante do Chronicle e receba o código de acesso único necessário para ingerir seus dados do Google Cloud.
Conceda os seguintes papéis do IAM necessários para acessar a seção do Chronicle:
- Administrador de serviço do Chronicle (roles/chroniclesm.admin): papel do IAM para executar todas as atividades.
- Leitor de serviço do Chronicle (roles/chroniclesm.viewer): papel do IAM para ver apenas o estado de ingestão.
- Editor administrador da Central de segurança (roles/securitycenter.adminEditor): necessário para ativar a ingestão de metadados de recursos do Cloud.
Se você planeja ativar os metadados do recurso Cloud Asset, também é necessário ativar o serviço do Google Cloud de nível Standard ou Premium do Security Command Center. Consulte Ativar o Security Command Center para uma organização para mais informações.

Como conceder papéis do IAM

É possível conceder os papéis do IAM necessários usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o Console do Google Cloud, conclua as seguintes etapas:

Faça login na organização do Google Cloud à qual você quer se conectar e navegue até a tela do IAM usando Produtos > IAM e administrador > IAM.
Na tela do IAM, selecione o usuário e clique em Editar membro.

Observação: se você não estiver na visualização Organização do IAM, o botão Editar membro estará desativado e será necessário navegar até a tela do IAM da organização.
Na tela Editar permissões, clique em Adicionar outro papel e procure o Chronicle para encontrar os papéis do IAM.
Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, siga estas etapas:

Verifique se você fez login na organização correta. Para verificar isso, execute o comando gcloud init.
Para conceder o papel do IAM de Administrador de serviço do Chronicle usando gcloud, execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização.
- USER_EMAIL: o endereço de e-mail do usuário administrador.

Para conceder o papel do IAM de Leitor de serviços do Chronicle usando gcloud, execute o seguinte comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

Para conceder o papel de Editor administrador da Central de segurança usando gcloud, execute o seguinte comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Como ativar a ingestão de dados do Google Cloud

Os dados do Google Cloud são ingeridos usando uma API interna particular entre o Security Command Center e o Chronicle. A ingestão nunca chega à rede externa e nunca usa endereços IP. O Google acessa os registros do Google Cloud diretamente com base na autenticação feita com o código de uso único fornecido pelo Chronicle para o Security Command Center.

Para ativar a ingestão de dados da organização do Google Cloud na instância do Chronicle, conclua as seguintes etapas:

Acesse a página do Chronicle no console do Google Cloud.
Acessar a página "Chronicle"
Digite seu código de acesso único no campo 1-time Chronicle access code.
Para consentir com o uso do Chronicle, marque a caixa Concordo com os Termos e Condições do uso dos meus dados do Google Cloud pelo Chronicle.
Clique em Conectar o Chronicle.

Agora seus dados do Google Cloud serão enviados para o Chronicle. Você pode usar os recursos de análise do Chronicle para investigar problemas relacionados à segurança. As seções a seguir descrevem maneiras de ajustar os tipos de dados do Google Cloud que serão enviados ao Chronicle

Como exportar registros do Google Cloud para o Chronicle

É possível exportar os seguintes tipos de dados do Google Cloud para sua instância do Chronicle:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WINEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORIA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajustar a expressão regular do filtro de registro, conforme necessário
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar os registros do Google Cloud para o Chronicle, ative a opção Registros do Google Cloud. Todos os tipos de registro do Google Cloud listados acima serão exportados para sua instância do Chronicle.

Registros do Google Cloud

Para ver as práticas recomendadas sobre quais filtros de registro usar, consulte Análise de registros de segurança no Google Cloud.

Exportar configurações de filtro

Por padrão, os registros de auditoria do Cloud (atividade do administrador e evento do sistema) e os registros do Cloud DNS são enviados para sua conta do Chronicle. No entanto, você pode personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é baseado na linguagem de consulta do Google Logging.

Para definir um filtro personalizado para seus registros, siga estas etapas:

Para definir o filtro, crie um filtro personalizado para seus registros usando a linguagem de consulta do Logging. A documentação a seguir descreve como definir esse tipo de filtro: /logging/docs/view/logging-query-language
Navegue até a Análise de registros usando o link fornecido na guia Exportar configurações de filtro, copie a nova consulta no campo Consulta e clique em Executar consulta para testá-la.

Verifique se os registros correspondentes exibidos na Análise de registros são exatamente os que você pretende exportar para o Chronicle.

Siga estas etapas na guia Exportar configurações do filtro:

Quando o filtro estiver pronto, clique no ícone de edição e cole-o no campo Exportar filtro.
Clique em Salvar filtro personalizado. Seu novo filtro personalizado funciona com todos os novos registros exportados para sua conta do Chronicle.
Se você redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do seu filtro personalizado.

Como ajustar filtros de registros de auditoria do Cloud

Os registros de acesso a dados de auditoria do Cloud podem produzir um grande volume de registros sem muito valor de detecção de ameaças. Se você optar por enviar esses registros para o Chronicle, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui eventos de alto volume, como operações de leitura e lista do Cloud Storage e do Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Saiba como ajustar os registros de acesso a dados de auditoria do Cloud neste link.

Exportar exemplos de filtro

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir determinados tipos de registros exportados para sua conta do Chronicle.

Exemplo de filtro de exportação 1: incluir outros tipos de registro

O filtro de exportação a seguir exporta registros de transparência no acesso, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação 2: incluir outros registros de um projeto específico

O filtro de exportação a seguir exporta registros de transparência no acesso de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 3: incluir outros registros de uma pasta específica

O filtro de exportação a seguir exporta registros de transparência de acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 4: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a organização do Google Cloud, com exceção de um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Como exportar metadados de recursos do Google Cloud para o Chronicle

É possível exportar seus metadados de recursos do Google Cloud para o Chronicle. Esses metadados de recursos são extraídos do Inventário de recursos do Google Cloud e consistem em informações sobre seus recursos, recursos e identidades, incluindo o seguinte:

Ambiente
Local
Zona
Modelos de hardware
Relações de controle de acesso entre recursos e identidades

Veja a seguir os tipos específicos de metadados dos recursos do Google Cloud que serão exportados para sua conta do Chronicle:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Veja a seguir alguns exemplos de metadados de recursos do Google Cloud:

Nome do aplicativo — Google-iamSample/0.1
Nome do projeto — projects/my-project

Exemplos de campos de registro de contexto do Resource Manager incluem assetType, resource.data.name e resource.version.

Para mais informações sobre os tipos de recursos, consulte Tipos de recursos compatíveis com o Inventário de recursos do Cloud.

Para exportar seus metadados de recursos do Google Cloud para o Chronicle, defina a opção Metadados do recurso do Cloud como "Ativado".

Ativar metadados de recurso do Cloud.

Referência de mapeamento de campo e tipos de recursos compatíveis

A tabela a seguir lista os analisadores de contexto compatíveis com o Chronicle, o rótulo de ingestão correspondente e os tipos de recursos compatíveis.

Para acessar a documentação de referência de mapeamento do analisador de contexto, clique no nome dele na tabela.

Nome do serviço	Rótulo de ingestão	Tipos de recursos compatíveis
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Como exportar as descobertas do Security Command Center para o Chronicle

É possível exportar as descobertas do Event Threat Detection (ETD) do Security Command Center Premium e todas as outras descobertas para o Chronicle.

Para mais informações sobre as descobertas do Event Threat Detection, consulte a visão geral do Security Command Center.

Para exportar as descobertas do nível Premium do Security Command Center para o Chronicle, ative a opção Descobertas Premium do Security Command Center.

Ativar descobertas do nível Premium do Security Command Center.

Como exportar dados da proteção de dados sensíveis para o Chronicle

Para processar metadados do recurso de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

Preencha a seção anterior deste documento para ativar a ingestão de dados do Google Cloud.
Configurar a proteção de dados sensíveis para criar perfis para dados.
Defina a configuração da verificação para publicar perfis de dados no Chronicle.

Consulte a documentação da proteção de dados sensíveis para informações detalhadas sobre como criar perfis para dados do BigQuery.

Como desativar a ingestão de dados do Google Cloud

Marque a caixa Quero desconectar o Chronicle e parar de enviar os registros do Google Cloud para o Chronicle.
Clique em Desconectar o Chronicle.

Solução de problemas

Se os relacionamentos entre recursos e identidades não estiverem no sistema Chronicle, defina a opção Export Cloud logs to Chronicle como desativado e, em seguida, ative novamente.
Os metadados do recurso são transferidos periodicamente no Chronicle. Aguarde algumas horas para que as mudanças fiquem visíveis na interface e nas APIs do Chronicle.

A seguir

Abra sua conta do Chronicle usando o URL específico do cliente fornecido pelo representante do Chronicle.
Saiba mais sobre o Chronicle.