Transfiere Google Cloud datos a Google Security Operations

En esta página, se describe cómo habilitar y deshabilitar la Google Cloud transferencia de datos a Google SecOps. Esto te permite almacenar, buscar y examinar información de seguridad agregada de tu empresa, que se remonta a meses o más, de acuerdo con tu período de retención de datos.

Descripción general

Existen dos opciones para enviar Google Cloud datos a Google SecOps. La elección de la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registro específicos a Google SecOps en tiempo real. Los servicios Google Cloud generan estos registros.

Google Security Operations solo transfiere tipos de registros compatibles. Entre los tipos de registro disponibles, se incluyen los siguientes:

• Registros de auditoría de Cloud
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Sistema de detección de intrusiones de Cloud
• Cloud Load Balancing
• Cloud SQL
• Registros de eventos de Windows
• Syslog de Linux
• Sysmon de Linux
• Zeek
• Google Kubernetes Engine
• Daemon de auditoría (auditd)
• Apigee
• reCAPTCHA Enterprise
• Registros de Cloud Run (GCP_RUN)

Para obtener detalles sobre los filtros de registros específicos y más detalles sobre la transferencia, consulta Cómo exportar registros a Google SecOps. Google Cloud

También puedes enviar Google Cloud metadatos de activos que se usan para enriquecer el contexto. Para obtener más información, consulta Cómo exportar Google Cloud metadatos de activos a Google SecOps.

Opción 2: Google Cloud Almacenamiento

Cloud Logging puede enrutar registros a Cloud Storage por parte de Google SecOps de forma programada.

Para obtener detalles sobre cómo configurar Cloud Storage para Google SecOps, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de transferir datos de Google Cloud a una instancia de Google SecOps, debes completar los siguientes pasos:

1. Otorga los siguientes roles de IAM necesarios para acceder a la sección de Google SecOps:

   • Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es el rol de IAM para realizar todas las actividades.
   • Visualizador de servicios de Chronicle (roles/chroniclesm.viewer): Es el rol de IAM para ver solo el estado de la transferencia.
   • Editor administrador de Security Center (roles/securitycenter.adminEditor): Obligatorio para habilitar la transferencia de metadatos de recursos de Cloud.

2. Si planeas habilitar los metadatos de los recursos de Cloud, debes incorporar la organización a Security Command Center. Consulta Descripción general de la activación a nivel de la organización para obtener más información.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

1. Accede a la Google Cloud organización a la que deseas conectarte y ve a la pantalla de IAM en Productos > IAM y administración > IAM.

2. En la pantalla IAM, selecciona el usuario y haz clic en Editar miembro.

3. En la pantalla Editar permisos, haz clic en Agregar otra función y busca Google SecOps para encontrar los roles de IAM.

4. Una vez que hayas asignado los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

1. Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.

2. Para otorgar el rol de administrador de IAM de Chronicle Service con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: El ID numérico de la organización.
   • USER_EMAIL: la dirección de correo electrónico del usuario.

3. Para otorgar el rol de IAM de Visualizador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Para otorgar el rol de editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Habilita la transferencia directa desde Google Cloud

Los pasos para habilitar la transferencia directa desde Google Cloud son diferentes según la propiedad del proyecto al que está vinculada tu instancia de Google SecOps.

• Si está vinculado a un proyecto que posees y administras, sigue los pasos que se indican en Cómo configurar la transferencia cuando el cliente es propietario del proyecto. Este enfoque te permite configurar la transferencia de datos desde más de una Google Cloud organización.

• Si está vinculado a un proyecto que Google Cloud es propietario y administra, sigue los pasos que se indican en Cómo configurar la transferencia cuando el proyecto es propiedad de Google Cloud.

Después de configurar la transferencia directa, tus Google Cloud datos se envían a Google SecOps. Puedes usar las funciones de análisis de Google SecOps para investigar problemas relacionados con la seguridad.

Cómo configurar la transferencia cuando el cliente es propietario del proyecto

Sigue los siguientes pasos si eres propietario del proyecto Google Cloud .

Puedes configurar la transferencia directa desde varias organizaciones con la misma página de configuración a nivel del proyecto. Sigue estos pasos para crear una configuración nueva y editar una configuración existente.

Cuando migras una instancia existente de Google SecOps para que se vincule a un proyecto que te pertenece, y si la transferencia directa se configuró antes de la migración, la configuración de transferencia directa también se migra.

1. Ve a la página Google SecOps > Configuración de transferencia en la consola de Google Cloud.
   Ve a la página de Google SecOps.
2. Selecciona el proyecto vinculado a tu instancia de Google SecOps.

3. En el menú Organización, selecciona la organización desde la que se exportarán los registros. En el menú, se muestran las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no están vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a una instancia diferente de Google SecOps.

   

4. En la sección Configuración de transferencia de datos de Google Cloud, haz clic en el botón de activación Enviar datos a Google Security Operations para habilitar el envío de registros a Google SecOps.

5. Selecciona una o más de las siguientes opciones para definir el tipo de datos que se envían a Google SecOps:

   • Google Cloud Logging: Para obtener más información sobre esta opción, consulta Cómo exportar Google Cloud registros.
   • Metadatos de recursos de Cloud: Para obtener más información sobre esta opción, consulta Cómo exportar Google Cloud metadatos de recursos.
   • Resultados de Security Center Premium: Para obtener más información sobre esta opción, consulta Cómo exportar resultados de Security Center Premium.

6. En la sección Configuración del filtro de exportación de clientes, configura los filtros de exportación para personalizar los datos de Cloud Logging que se envían a Google SecOps. Consulta los Google Cloud tipos de registros compatibles para la exportación.

7. Para transferir registros de una organización adicional a la misma instancia de Google SecOps, selecciona la organización en el menú Organization y, luego, repite los pasos para definir el tipo de datos que se exportarán y los filtros de exportación. Verás varias organizaciones en el menú Organización.

8. Para exportar datos de Sensitive Data Protection (antes llamados datos de Google Cloud Data Loss Prevention) a Google SecOps, consulta Cómo exportar datos de Sensitive Data Protection.

Cómo configurar la transferencia cuando un proyecto es propiedad de Google Cloud

Si Google Cloud es el propietario del proyecto, haz lo siguiente para configurar la transferencia directa de tu organización Google Cloud a tu instancia de Google SecOps:

1. Ve a la pestaña Google SecOps > Descripción general > Transferencia en la consola de Google Cloud. Ve a la pestaña Transferencia de Google SecOps
2. Haz clic en el botón Administra la configuración de transferencia de la organización.
3. Si aparece el mensaje Page not viewable for projects, selecciona una organización y haz clic en Seleccionar.
4. Ingresa tu código de acceso único en el campo Código de acceso único de Google SecOps.
5. Marca la casilla titulada Doy mi consentimiento a los términos y condiciones del uso que hace Google SecOps de mis Google Cloud datos.
6. Haz clic en Conectar Google SecOps.
7. Ve a la pestaña Configuración de transferencia global de la organización.

8. Habilita una o más de las siguientes opciones para seleccionar el tipo de datos que se enviarán:

   • Google Cloud Logging: Para obtener más información sobre esta opción, consulta Exporta Google Cloud registros.
   • Metadatos de Cloud Asset Para obtener más información sobre esta opción, consulta Cómo exportar Google Cloud metadatos de activos.
   • Resultados de Security Center Premium: Para obtener más información sobre esta opción, consulta Cómo exportar resultados de Security Center Premium.

9. Ve a la pestaña Exporta la configuración de filtros.

10. En la sección Configuración del filtro de exportación de clientes, configura los filtros de exportación para personalizar los datos de Cloud Logging que se envían a Google SecOps. Consulta los Google Cloud tipos de registros compatibles para la exportación.

11. Para exportar datos de Sensitive Data Protection (antes llamados datos de Google Cloud Data Loss Prevention) a Google SecOps, consulta Cómo exportar datos de Sensitive Data Protection.

Exporta Google Cloud registros

Después de habilitar Cloud Logging, puedes exportar los datos de registro de los tipos de registroGoogle Cloud compatibles a tu instancia de Google SecOps.

Para exportar Google Cloud registros a Google SecOps, establece el botón de activación Habilitar registros de Cloud en Habilitado.

Tipos de registros admitidos para la exportación

Puedes personalizar el filtro de exportación de los registros para exportarlos a Google SecOps. Para incluir o excluir tipos de registros, agrega o quita los filtros de exportación admitidos que se indican en la siguiente lista:

Puedes exportar los siguientes Google Cloud tipos de registros a tu instancia de Google SecOps. La siguiente lista está organizada por tipo de registro y la etiqueta de transferencia de SecOps de Google correspondiente:

• Registros de auditoría de Cloud (GCP_CLOUDAUDIT):

  Esto incluye los registros de actividad del administrador, eventos del sistema, transparencia de acceso y política denegada.

  • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Registros de Cloud NAT (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Registros de Cloud DNS (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)

• Registros de Cloud Next Generation Firewall (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing.

  • log_id("requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

Personaliza la configuración del filtro de exportación

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y evento del sistema) y los registros de Cloud DNS se envían a tu instancia de Google SecOps. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros.

Para definir un filtro personalizado para tus registros, haz lo siguiente:

1. Identifica los registros de tu filtro personalizado con la herramienta de permiso de registros.

2. En la sección Filtro de registro generado automáticamente que sigue a la herramienta de alcance de registros, copia el código del filtro de registro personalizado generado.

3. Ve a la página Google SecOps en la consola de Google Cloud y selecciona un proyecto.
   Ve a la página de Google SecOps.
   

4. Inicia el Explorador de registros con el vínculo de la pestaña Export Filter Settings.

5. Copia tu consulta nueva en el campo Consulta y haz clic en Ejecutar consulta para probarla.

6. Copia tu nueva consulta en el campo Explorador de registros > Consulta y, luego, haz clic en Ejecutar consulta para probarla.

7. Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que deseas exportar a Google SecOps. Cuando el filtro esté listo, cópialo en la sección Configuración del filtro de exportación personalizado de Google SecOps.

8. Regresa a la sección Configuración del filtro de exportación personalizado en la página Google SecOps.

9. Haz clic en el ícono Editar en el campo Filtro de exportación y, luego, pega el filtro copiado en el campo.

10. Haz clic en Guardar.

    • Si aparece el siguiente mensaje de error: “El filtro proporcionado puede permitir tipos de registros no compatibles”, es posible que haya un tipo de registro no compatible incluido en el filtro de exportación. Quita el tipo de registro no compatible del filtro de exportación. Incluye solo los tipos de registro que se indican en Google Cloud tipos de registro compatibles para la exportación.

    • Si la operación de guardado se realiza correctamente, tu nuevo filtro personalizado funcionará en todos los registros nuevos exportados a tu instancia de Google SecOps.

    • Opcional: Para restablecer el filtro de exportación a la versión predeterminada, guarda una copia de tu filtro personalizado y, luego, haz clic en Restablecer a la versión predeterminada.

Ajusta los filtros de los registros de auditoría de Cloud

Los registros de acceso a los datos que escriben los Registros de auditoría de Cloud pueden producir un gran volumen de datos sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google SecOps, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de alto volumen, como las operaciones de lectura y lista de Cloud Storage y Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre cómo ajustar los registros de acceso a los datos que generan los Registros de auditoría de Cloud, consulta Administra el volumen de los registros de auditoría de acceso a los datos.

Ejemplos de filtros de exportación

En los siguientes ejemplos de filtros de exportación, se muestra cómo puedes incluir o excluir ciertos tipos de registros de la exportación a tu instancia de Google SecOps.

Ejemplo de filtro de exportación: Incluye tipos de registro adicionales

El siguiente filtro de exportación exporta registros de transparencia de acceso, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación: Incluye registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Incluye registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta registros de transparencia de acceso desde una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Excluye registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la Google Cloud organización, excepto un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporta Google Cloud metadatos de activos

Puedes exportar tus Google Cloud metadatos de recursos de Cloud Asset Inventory a Google SecOps. Estos metadatos de recursos se extraen de tu Cloud Asset Inventory y constan de información sobre los activos, los recursos y las identidades, incluidos los siguientes:

• Entorno
• Ubicación
• Zona
• Modelos de hardware
• Relaciones de control de acceso entre recursos e identidades

Los siguientes tipos de metadatos de Google Cloud recursos se exportarán a tu instancia de Google SecOps:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Los siguientes son ejemplos de metadatos de Google Cloud activos:

• Nombre de la aplicación: Google-iamSample/0.1
• Nombre del proyecto: projects/my-project

Para exportar Google Cloud metadatos de recursos a Google SecOps, establece el botón de activación Cloud Asset Metadata en Enabled.

Para obtener más información sobre los analizadores de contexto, consulta Analizadores de contexto de Google SecOps.

Exporta los resultados de Security Command Center

Puedes exportar los resultados de Event Threat Detection de Security Command Center Premium y todos los demás resultados a Google SecOps.

Para obtener más información sobre los resultados de ETD, consulta Descripción general de Event Threat Detection.

Para exportar los resultados de Security Command Center Premium a Google SecOps, configura el botón de activación Resultados de Security Command Center Premium como Habilitado.

Cómo exportar datos de la Protección de datos sensibles

Puedes exportar tus datos de Protección de datos sensibles a Google SecOps.

Para transferir los metadatos de los activos de Sensitive Data Protection (DLP_CONTEXT), haz lo siguiente:

1. Para habilitar la transferencia de datos de Google Cloud , completa la sección anterior de este documento.
2. Configura la Protección de datos sensibles para crear perfiles de datos.
3. Establece la configuración del análisis para publicar perfiles de datos en Google SecOps.

Consulta la documentación de Protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos para datos de BigQuery.

Inhabilita la transferencia de datos de Google Cloud

Los pasos para inhabilitar la transferencia directa de datos desde Google Cloud son diferentes según la configuración de Google SecOps. Elige una de estas opciones:

• Si tu instancia de Google SecOps está vinculada a un proyecto que posees y administras, sigue estos pasos:

  1. Selecciona el proyecto vinculado a tu instancia de Google SecOps.
  2. En la consola de Google Cloud, ve a la pestaña Transferencia en Google SecOps.
     Ve a la página de Google SecOps.
  3. En el menú Organización, selecciona la organización desde la que se exportan los registros.
  4. Establece el botón de activación Enviar datos a Google Security Operations en Inhabilitado.
  5. Si configuraste la exportación de datos desde varias organizaciones y también quieres inhabilitarlas, sigue estos pasos para cada organización.

• Si tu instancia de Google SecOps está vinculada a un proyecto que Google Cloud es propietario y administra, sigue estos pasos:

  1. Ve a la página Google SecOps > Transferencia en la consola de Google Cloud.
     Ve a la página de Google SecOps.
  2. En el menú de recursos, selecciona la organización que está vinculada a tu instancia de Google SecOps y de la que extraes datos.
  3. Marca la casilla Quiero desconectar Google SecOps y dejar de enviar Google Cloud registros a Google SecOps.
  4. Haz clic en Desconectar Google SecOps.

Controla la velocidad de transferencia

Cuando la tasa de transferencia de datos de un inquilino alcanza un umbral determinado, Google Security Operations restringe la tasa de transferencia de feeds de datos nuevos para evitar que una fuente con una tasa de transferencia alta afecte la tasa de transferencia de otra fuente de datos. En este caso, hay una demora, pero no se pierden datos. El volumen de transferencia y el historial de uso del inquilino determinan el umbral.

Para solicitar un aumento del límite de frecuencia, comunícate con Atención al cliente de Cloud.

Soluciona problemas

• Si faltan las relaciones entre los recursos y las identidades en tu instancia de Google SecOps, inhabilita y, luego, vuelve a habilitar la transferencia directa de datos de registro a Google SecOps.
• Los metadatos de los activos deGoogle Cloud se transfieren periódicamente a Google SecOps. Espera varias horas para que los cambios aparezcan en la IU y las APIs de Google SecOps.

• Cuando agregues un tipo de registro al filtro de exportación, es posible que veas el siguiente mensaje: "El filtro proporcionado puede permitir tipos de registros no compatibles".

  Solución: Incluye solo los tipos de registro en el filtro de exportación que aparecen en la siguiente lista: Google Cloud tipos de registro compatibles para la exportación.

¿Qué sigue?

• Abre tu instancia de Google SecOps con la URL específica del cliente que te proporcionó tu representante de Google SecOps.
• Obtén más información sobre Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.