Se usó la API de Cloud Translation para traducir esta página.

Transfiere datos de Google Cloud a las operaciones de seguridad de Google

En esta página, se muestra cómo inhabilitar y habilitar la transferencia de tus datos de Google Cloud a las operaciones de seguridad de Google. Las operaciones de seguridad de Google te permiten almacenar, buscar y examinar la información de seguridad agregada de tu empresa durante meses o más tiempo según el período de retención de datos.

Descripción general

Existen dos opciones para enviar los datos de Google Cloud a las operaciones de seguridad de Google. Elegir la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a las operaciones de seguridad de Google en tiempo real. Los servicios de Google Cloud generan estos registros.

Las operaciones de seguridad de Google reciben registros incluso si se excluyen a nivel de proyecto en Google Cloud, pero se incluyen en el filtro de exportación de registros y en el registro de Google Cloud a nivel de la organización. Para excluir registros de las operaciones de seguridad de Google, debes actualizar el filtro de exportación de registros de las operaciones de seguridad de Google en Google Cloud.

Los tipos de registros disponibles incluyen los siguientes:

Registros de auditoría de Cloud
Cloud NAT
Cloud DNS
Cloud Next Generation Firewall
Sistema de detección de intrusiones de Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos de Windows
syslog de Linux
Linux Sysmon
Zumisodos
Google Kubernetes Engine
Daemon de auditoría (auditd)
Apigee
reCAPTCHA Enterprise
Registros de Cloud Run (GCP_RUN)
Cloud Next Generation Firewall

Para recopilar los registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, crea un ticket de asistencia con las operaciones de seguridad de Google para proporcionar comentarios que se puedan considerar en el futuro como tipo de registro con la opción 1.

Para obtener filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a las operaciones de seguridad de Google.

Los metadatos adicionales de Google Cloud que se usarán como contexto con fines de enriquecimiento también se pueden enviar a las operaciones de seguridad de Google. Consulta Exporta metadatos de recursos de Google Cloud a las operaciones de seguridad de Google para obtener más información.

Opción 2: Google Cloud Storage

Cloud Logging puede enrutar registros a Cloud Storage para que las operaciones de seguridad de Google los recuperen de forma programada.

Si deseas obtener detalles sobre cómo configurar Cloud Storage para las operaciones de seguridad de Google, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de poder transferir los datos de Google Cloud a la instancia de operaciones de seguridad de Google, debes completar los siguientes pasos:

Comunícate con tu representante de operaciones de seguridad de Google y obtén el código de acceso único que necesitas para transferir tus datos de Google Cloud.
Otorga los siguientes roles de IAM necesarios para acceder a la sección de operaciones de seguridad de Google:
- Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es la función de IAM para realizar todas las actividades.
- Visualizador de servicios de Chronicle (roles/chroniclesm.viewer): Es un rol de IAM que permite ver solo el estado de la transferencia.
- Editor administrador del centro de seguridad (roles/securitycenter.adminEditor): Obligatorio para habilitar la transferencia de metadatos de Cloud Asset.
Si planeas habilitar los metadatos de Cloud Asset, también debes habilitar el servicio de Google Cloud para el nivel Estándar de Security Command Center o el nivel Premium de Security Command Center. Si quieres obtener más información, consulta Activa Security Command Center para una organización.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

Accede a la organización de Google Cloud a la que deseas conectarte y navega a la pantalla de IAM mediante Productos > IAM y administración > IAM.
En la pantalla de IAM, selecciona el usuario y haz clic en Editar miembro.

Nota: Si no estás en la vista de organización de IAM, el botón Editar miembro está inhabilitado y debes navegar a la pantalla de IAM de la organización.
En la pantalla Editar permisos, haz clic en Agregar otro rol y busca Operaciones de seguridad de Google para encontrar los roles de IAM.
Una vez que asignes los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.
Para otorgar el rol de IAM Administrador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Reemplaza lo siguiente:
- ORGANIZATION_ID: Es el ID numérico de la organización.
- USER_EMAIL: Es la dirección de correo electrónico del usuario administrador.
Para otorgar el rol de IAM de Visualizador del servicio de operaciones de seguridad de Google con gcloud, ejecuta el siguiente comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```

Para otorgar la función de editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Habilita la transferencia de datos de Google Cloud

Los datos de Google Cloud se transfieren mediante una API interna privada entre Security Command Center y Google Security Operations. La transferencia nunca llega a la red externa ni usa direcciones IP. Google accede a los registros de Google Cloud directamente según la autenticación realizada mediante el código único que proporciona las operaciones de seguridad de Google para Security Command Center.

Para habilitar la transferencia de datos desde tu organización de Google Cloud a la instancia de operaciones de seguridad de Google, completa los siguientes pasos:

Navega a la página de Operaciones de seguridad de Google para la consola de Google Cloud.
Ir a la página Operaciones de seguridad de Google
Ingresa el código de acceso único en el campo 1-time Google Security Operations code (Código de acceso a las operaciones de seguridad de Google por única vez).
Para dar tu consentimiento para el uso de las operaciones de seguridad de Google, marca la casilla Acepto los términos y condiciones del uso de mis datos de Google Cloud por parte de Chronicle.
Haz clic en Conectar las operaciones de seguridad de Google.

Se enviarán tus datos de Google Cloud a las operaciones de seguridad de Google. Puedes usar las funciones de análisis de Operaciones de seguridad de Google para investigar los problemas relacionados con la seguridad. En las siguientes secciones, se describen las formas de ajustar los tipos de datos de Google Cloud que se enviarán a las operaciones de seguridad de Google

Exporta registros de Google Cloud a las operaciones de seguridad de Google

Puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de operaciones de seguridad de Google:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
- log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
REGISTRO DE WINEVT:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORÍA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajusta la expresión regular del filtro de registro según sea necesario.
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar tus registros de Google Cloud a las operaciones de seguridad de Google, habilita la opción Registros de Google Cloud. Todos los tipos de registros de Google Cloud mencionados con anterioridad se exportarán a tu instancia de operaciones de seguridad de Google.

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Análisis de registros de seguridad en Google Cloud.

Exportar configuración de filtros

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y de Cloud DNS se envían a tu cuenta de operaciones de seguridad de Google. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de registros de Google.

A fin de definir un filtro personalizado para tus registros, completa los siguientes pasos:

Crea un filtro personalizado para tus registros con el lenguaje de consulta de registros a fin de definirlo. En la siguiente documentación, se describe cómo definir este tipo de filtro: /logging/docs/view/logging-query-language.
Navega al Explorador de registros con el vínculo proporcionado en la pestaña Exportar configuración de filtro, copia tu nueva consulta en el campo Consulta y haz clic en Ejecutar consulta para probarla.

Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que deseas exportar a las operaciones de seguridad de Google.

Completa los siguientes pasos en la pestaña Exportar configuración de filtros:

Cuando el filtro esté listo, haz clic en el ícono de edición y pégalo en el campo Exportar filtro.
Haz clic en Guardar filtro personalizado. Tu nuevo filtro personalizado funciona con todos los registros nuevos exportados a tu cuenta de operaciones de seguridad de Google.
Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer configuración predeterminada. Primero, asegúrate de guardar una copia de tu filtro personalizado.

Ajusta los filtros de registros de auditoría de Cloud

Los registros de acceso a los datos de auditoría de Cloud pueden producir un gran volumen de registros sin mucho valor de detección de amenazas. Si decides enviar estos registros a las operaciones de seguridad de Google, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de gran volumen, como las operaciones Read y List de Cloud Storage y Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre cómo ajustar los registros de acceso a los datos de auditoría de Cloud, consulta aquí.

Exportar ejemplos de filtros

En los siguientes ejemplos de filtros de exportación, se ilustra cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu cuenta de operaciones de seguridad de Google.

Ejemplo de filtro de exportación 1: incluye tipos de registros adicionales

Con el siguiente filtro de exportación, se exportan registros de transparencia de acceso además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación 2: incluye registros adicionales de un proyecto específico

Con el siguiente filtro de exportación, se exportan los registros de Transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación 3: incluye registros adicionales de una carpeta específica

Con el siguiente filtro de exportación, se exportan los registros de transparencia de acceso de una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación 4: excluye registros de un proyecto específico

Con el siguiente filtro de exportación, se exportan los registros predeterminados de toda la organización de Google Cloud, excepto de un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportación de metadatos de recursos de Google Cloud a las operaciones de seguridad de Google

Puedes exportar los metadatos de tus recursos de Google Cloud a las operaciones de seguridad de Google. Estos metadatos de recurso se obtienen de Google Cloud Asset Inventory y consisten en información sobre tus recursos, identidades y recursos, incluida la siguiente información:

Entorno
Ubicación
Zona
Modelos de hardware
Relaciones de control de acceso entre identidades y recursos

A continuación, se indican los tipos específicos de metadatos de Google Cloud Asset que se exportarán a tu cuenta de operaciones de seguridad de Google:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Estos son algunos ejemplos de metadatos de Google Cloud Asset:

Nombre de la aplicación: Google-iamSample/0.1
Nombre del proyecto: projects/my-project

Algunos ejemplos de campos de registro de contexto de Resource Manager incluyen assetType, resource.data.name y resource.version.

Para obtener más información sobre los tipos de recursos, consulta Tipos de recursos compatibles con Cloud Asset Inventory.

Para exportar tus metadatos de Google Cloud Asset a Google Security Operations, habilita Cloud Asset Metadata.

Habilita los metadatos de recursos de Cloud.

Referencia de la asignación de campos y tipos de recursos compatibles

En la siguiente tabla, se enumeran los analizadores de contexto compatibles con las operaciones de seguridad de Google, la etiqueta de transferencia correspondiente y los tipos de recursos compatibles.

Para ver la documentación de referencia de asignación del analizador de contexto, haz clic en el nombre correspondiente del analizador de contexto en la tabla.

Nombre del servicio	Etiqueta de transferencia	Tipos de recursos admitidos
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Se están exportando los resultados de Security Command Center a las operaciones de seguridad de Google

Puedes exportar los resultados de la detección de eventos de amenazas (ETD) Premium de Security Command Center y todos los demás resultados a las operaciones de seguridad de Google.

Para obtener más información sobre los resultados de Event Threat Detection, consulta la descripción general de Security Command Center.

Para exportar las conclusiones del nivel Premium de Security Command Center a las operaciones de seguridad de Google, habilita el botón de activación Resultados Premium de Security Command Center.

Habilita los hallazgos del nivel Premium de Security Command Center.

Exporta datos de protección de datos sensibles a las operaciones de seguridad de Google

Para transferir los metadatos del activo de protección de datos sensibles (DLP_CONTEXT), sigue estos pasos:

Para habilitar la transferencia de datos de Google Cloud, completa la sección anterior de este documento.
Configura la protección de datos sensibles para los datos de perfil.
Definir la configuración del análisis para publicar perfiles de datos en las operaciones de seguridad de Google

Consulta la documentación sobre protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos de BigQuery.

Inhabilita la transferencia de datos de Google Cloud

Marca la casilla con la etiqueta Quiero desconectar las operaciones de seguridad de Google y dejar de enviar registros de Google Cloud a las operaciones de seguridad de Google.
Haz clic en Desconectar las operaciones de seguridad de Google.

Soluciona problemas

Si las relaciones entre los recursos y las identidades no se encuentran en tu sistema de operaciones de seguridad de Google, configura el botón de activación Exportar registros de Cloud a las operaciones de seguridad de Google como inhabilitado y, luego, volver a habilitarlo.
Los metadatos de los elementos se transfieren periódicamente a las operaciones de seguridad de Google. Espera varias horas para que los cambios sean visibles en la IU y las APIs de operaciones de seguridad de Google.

¿Qué sigue?

Abre tu cuenta de Operaciones de seguridad de Google con la URL específica del cliente que te proporcionó tu representante de Operaciones de seguridad de Google.
Obtén más información sobre Google Security Operations.