Transfiere datos de Google Cloud a Google Security Operations
En esta página, se muestra cómo habilitar y deshabilitar la transferencia de tus datos de Google Cloud a Google Security Operations. Google Security Operations te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa durante meses o más, de acuerdo con tu período de retención de datos.
Descripción general
Hay dos opciones para enviar datos de Google Cloud a Google Security Operations. Elegir la opción correcta depende del tipo de registro.
Opción 1: Transferencia directa
Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google Security Operations en tiempo real. Los servicios de Google Cloud generan estos registros.
Entre los tipos de registro disponibles, se incluyen los siguientes:
- Cloud Audit Logs
- Cloud NAT
- Cloud DNS
- Cloud Next Generation Firewall
- Sistema de detección de intrusiones de Cloud
- Cloud Load Balancing
- Cloud SQL
- Registros de eventos de Windows
- syslog de Linux
- Sysmon de Linux
- Zeek
- Google Kubernetes Engine
- Daemon de auditoría (
auditd
) - Apigee
- reCAPTCHA Enterprise
- Registros de Cloud Run (
GCP_RUN
)
Para recopilar registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, envía un ticket de asistencia a Google Security Operations para proporcionar comentarios que se tengan en cuenta en el futuro para admitir el uso de la transferencia directa (opción 1).
Para ver filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a Google Security Operations.
También puedes enviar metadatos de recursos de Google Cloud que se usan para enriquecer el contexto. Consulta Exporta metadatos de recursos de Google Cloud a Google Security Operations para obtener más detalles.
Opción 2: Google Cloud Storage
Cloud Logging puede enrutar registros a Cloud Storage para que Google Security Operations los recupere de forma programada.
Para obtener detalles sobre cómo configurar Cloud Storage para Google Security Operations, consulta Administración de feeds: Cloud Storage.
Antes de comenzar
Antes de transferir datos de Google Cloud a una instancia de Google Security Operations, debes completar los siguientes pasos:
Otorga los siguientes roles de IAM necesarios para acceder a la sección Google Security Operations:
- Administrador del servicio de Chronicle (
roles/chroniclesm.admin
): Es el rol de IAM para realizar todas las actividades. - Visualizador de servicios de Chronicle (
roles/chroniclesm.viewer
): Es el rol de IAM para ver solo el estado de la transferencia. - Editor administrador de Security Center (
roles/securitycenter.adminEditor
): Es obligatorio para habilitar la transferencia de metadatos de recursos de Cloud.
- Administrador del servicio de Chronicle (
Si planeas habilitar Cloud Asset Metadata, también debes habilitar el nivel Estándar de Security Command Center, el nivel Premium o Security Command Center Enterprise. Consulta Descripción general de la activación a nivel de la organización para obtener más información.
Otorga funciones de IAM
Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.
Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:
Accede a la organización de Google Cloud a la que deseas conectarte y navega a la pantalla de IAM con la opción Productos > IAM y Administrador > IAM
En la pantalla de IAM, selecciona el usuario y haz clic en Editar miembro.
En la pantalla Editar permisos, haz clic en Agregar otro rol y busca Google Security Operations para encontrar los roles de IAM.
Una vez que hayas asignado los roles, haz clic en Guardar.
Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:
Asegúrate de que accediste a la organización correcta. Verifica esto con la ejecución del comando
gcloud init
.Para otorgar el rol de administrador de IAM de Chronicle Service con
gcloud
, ejecuta el siguiente comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.admin
Reemplaza lo siguiente:
ORGANIZATION_ID
: El ID numérico de la organización.USER_EMAIL
: la dirección de correo electrónico del usuario.
Para otorgar el rol de IAM de Visualizador de servicios de Chronicle con
gcloud
, ejecuta el siguiente comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/chroniclesm.viewer
Para otorgar el rol de editor administrador del centro de seguridad con
gcloud
, ejecuta el siguiente comando:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/securitycenter.adminEditor`
Habilitar la transferencia directa desde Google Cloud
Los pasos para habilitar la transferencia directa desde Google Cloud son diferentes según la propiedad del proyecto al que está vinculada tu instancia de Google Security Operations.
Si está vinculado a un proyecto del que eres propietario y administrador, sigue los pasos Configura la transferencia cuando el proyecto sea propiedad del cliente. Este enfoque te permite configurar la transferencia de datos desde más de una organización de Google Cloud.
Si está vinculado a un proyecto que Google Cloud posee y administra, sigue los pasos que se indican en Cómo configurar la transferencia cuando el proyecto es propiedad de Google Cloud.
Después de configurar la transferencia directa, tus datos de Google Cloud se envían a Google Security Operations. Puedes usar las funciones de análisis de Operaciones de seguridad de Google para investigar problemas relacionados con la seguridad.
Cómo configurar la transferencia cuando el cliente es propietario del proyecto
Sigue estos pasos si eres propietario del proyecto de Google Cloud.
Puedes configurar la transferencia directa desde varias organizaciones con la misma página de configuración a nivel del proyecto. Sigue estos pasos para crear una configuración nueva y editar una configuración existente.
Cuando migras una instancia existente de Google Security Operations para que se vincule a un proyecto del que eres propietario, y, si la transferencia directa se configuró antes de la migración, la configuración de transferencia directa también se migraron.
- Navega a Google SecOps > Página Configuración de transferencia en la consola de Google Cloud.
Ir a la página de Google SecOps - Selecciona el proyecto vinculado a tu instancia de Google Security Operations.
En el menú Organización, selecciona la organización desde la que se exportarán los registros. El menú muestra las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no están vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a una instancia diferente de Google SecOps.
En la sección Configuración de la transferencia de Google Cloud, haz clic en el botón de activación Envía datos a Google Security Operations para habilitar el envío de los registros a Google Security Operations.
Selecciona una o más de las siguientes opciones para definir el tipo de datos que se envían a Google Security Operations:
- Cloud Logging de Google: Para obtener más información sobre esta opción, consulta Cómo exportar registros de Google Cloud.
- Cloud Asset Metadata: Para obtener más información sobre esta opción, consulta Exportar metadatos de recursos de Google Cloud.
- Hallazgos de la versión Premium del centro de seguridad: Para obtener más información sobre esta opción, consulta Exporta los resultados de la versión Premium del Centro de seguridad.
En la sección Configuración del filtro de exportación del cliente, define Exporta filtros que personalizan Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud. para los tipos de datos de registro que exportas.
Para transferir registros de una organización adicional a la misma instancia de Google Security Operations, selecciona la organización en el menú Organización y, luego, repite los pasos para definir el tipo de datos a exportar y exportar filtros. Verás varias organizaciones en el menú Organización.
Para exportar datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations, consulta Cómo exportar datos de Cloud Data Loss Prevention de Google Cloud a Google Security Operations.
Configura la transferencia cuando un proyecto es propiedad de Google Cloud
Si Google Cloud es el propietario del proyecto, sigue estos pasos para configurar la transferencia directa desde tu organización de Google Cloud a tu instancia de Google Security Operations:
- Navega a Google SecOps > Descripción general > La pestaña Transferencia de la consola de Google Cloud Ir a la pestaña Transferencia de Google SecOps
- Haz clic en el botón Administra la configuración de transferencia de la organización.
- Si ves el mensaje La página no es visible para los proyectos, selecciona organización y, luego, haz clic en Seleccionar.
- Ingresa tu código de acceso de uso único en el campo Código de acceso único de Google Security Operations.
- Marca la casilla Acepto los términos y condiciones de El uso de mis datos de Google Cloud por parte de Google Security Operations.
- Haz clic en Conectar Google SecOps.
- Ve a la pestaña Configuración de transferencia global de la organización.
Habilita una o más de las siguientes opciones para seleccionar el tipo de datos que se enviarán:
- Google Cloud Logging: Para obtener más información sobre esta opción, consulta Cómo exportar registros de Google Cloud.
- Metadatos de recursos de Cloud. Para obtener más información sobre esta opción, consulta Cómo exportar metadatos de recursos de Google Cloud.
- Resultados de Security Center Premium: Para obtener más información sobre esta opción, consulta Cómo exportar resultados de Security Center Premium.
Vaya a la pestaña Export Filter Settings.
En la sección Configuración del filtro de exportación del cliente, define Exporta filtros que personalizan Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud. para los tipos de datos de registro que exportas.
Para exportar datos de Google Cloud Data Loss Prevention a Google Security Operations, consulta Exporta los datos de Google Cloud Data Loss Prevention a Google Security Operations.
Exporta registros de Google Cloud
Después de habilitar Cloud Logging, puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de Google Security Operations, enumerados por tipo de registro y etiqueta de transferencia de Google Security Operations:
- Registros de auditoría de Cloud(
GCP_CLOUDAUDIT
): Incluye los registros de actividad del administrador, eventos del sistema, transparencia de acceso y política denegada.log_id("cloudaudit.googleapis.com/activity")
(exportado por el filtro predeterminado)log_id("cloudaudit.googleapis.com/system_event")
(exportado por el filtro predeterminado)log_id("cloudaudit.googleapis.com/policy")
log_id("cloudaudit.googleapis.com/access_transparency")
- Registros de Cloud NAT (
GCP_CLOUD_NAT
):log_id("compute.googleapis.com/nat_flows")
- Registros de Cloud DNS (
GCP_DNS
):log_id("dns.googleapis.com/dns_queries")
(exportado por el filtro predeterminado)
- Registros de firewall de nueva generación de Cloud(
GCP_FIREWALL
):log_id("compute.googleapis.com/firewall")
GCP_IDS
:log_id("ids.googleapis.com/threat")
log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING
:log_id("requests")
Esto incluye registros de Google Cloud Armor y Cloud Load Balancing
GCP_CLOUDSQL
:log_id("cloudsql.googleapis.com/mysql-general.log")
log_id("cloudsql.googleapis.com/mysql.err")
log_id("cloudsql.googleapis.com/postgres.log")
log_id("cloudsql.googleapis.com/sqlagent.out")
log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM
:log_id("syslog")
log_id("authlog")
log_id("securelog")
LINUX_SYSMON
:log_id("sysmon.raw")
WINEVTLOG
:log_id("winevt.raw")
log_id("windows_event_log")
BRO_JSON
:log_id("zeek_json_streaming_conn")
log_id("zeek_json_streaming_dhcp")
log_id("zeek_json_streaming_dns")
log_id("zeek_json_streaming_http")
log_id("zeek_json_streaming_ssh")
log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE
:log_id("events")
log_id("stdout")
log_id("stderr")
AUDITD
:log_id("audit_log")
GCP_APIGEE_X
:logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
GCP_RECAPTCHA_ENTERPRISE
:log_id("recaptchaenterprise.googleapis.com/assessment")
log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN
:log_id("run.googleapis.com/stderr")
log_id("run.googleapis.com/stdout")
log_id("run.googleapis.com/requests")
log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE
:log_id("networksecurity.googleapis.com/firewall_threat")
Para exportar registros de Google Cloud a Google Security Operations, establece el botón de activación Habilitar registros de Cloud en Habilitado. Los tipos de registros de Google Cloud admitidos se pueden exportar a tu instancia de Google Security Operations.
Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Análisis de registros de seguridad en Google Cloud.
Exporta la configuración de filtros
Configuración del filtro de exportación personalizado
De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y los registros de DNS de Cloud se envían a tu instancia de Google Security Operations. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de Google Logging.
Para definir un filtro personalizado para tus registros, completa los siguientes pasos:
Para definir tu filtro, crea uno personalizado para tus registros con el lenguaje de consulta de Logging. Consulta Lenguaje de consulta de Logging para obtener información sobre cómo definir este tipo de filtro.
Navega a la página de Google SecOps en la consola de Google Cloud y selecciona un proyecto.
Ir a la página Google Security OperationsInicia el Explorador de registros con el vínculo que se proporciona en la pestaña Export Filter Settings.
Copia tu consulta nueva en el campo Consulta y haz clic en Ejecutar consulta para probarla.
Copia tu nueva consulta en el campo Explorador de registros > Consulta y, luego, haz clic en Ejecutar consulta para probarla.
Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente lo que quieres exportar a Google Security Operations. Cuando el filtro esté listo, cópialo en la sección Configuración del filtro de exportación personalizado de Google Security Operations.
Vuelve a la sección Configuración personalizada del filtro de exportación en la página Google SecOps.
Sección de la configuración del filtro de exportación personalizado
Haz clic en el ícono de edición del campo Filtro de exportación y pega el filtro en el campo.
Haga clic en el botón Guardar. El nuevo filtro personalizado funciona con todos los registros nuevos exportados a tu instancia de Google Security Operations.
Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer la configuración predeterminada. Primero, asegúrese de guardar una copia de su filtro personalizado.
Ajusta los filtros de los registros de auditoría de Cloud
Los registros de acceso a los datos que escriben los Registros de auditoría de Cloud pueden producir un gran volumen de datos sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google Security Operations, debes filtrar los registros que se generan por actividades de rutina.
El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de alto volumen, como las operaciones de lectura y lista de Cloud Storage y Cloud SQL:
( log_id("cloudaudit.googleapis.com/data_access")
AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
AND NOT protoPayload.request.cmd = "select" )
Para obtener más información sobre cómo ajustar los registros de acceso a los datos que generan los Registros de auditoría de Cloud, consulta Administra el volumen de los registros de auditoría de acceso a los datos.
Ejemplos de filtros de exportación
Los siguientes ejemplos de filtros de exportación ilustran cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu instancia de Google Security Operations.
Ejemplo de filtro de exportación: incluye tipos de registro adicionales
El siguiente filtro de exportación exporta registros de Transparencia de acceso además de los registros predeterminados:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")
Ejemplo de filtro de exportación: Incluye registros adicionales de un proyecto específico
El siguiente filtro de exportación exporta registros de Transparencia de acceso de un proyecto específico, además de los registros predeterminados:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Ejemplo de filtro de exportación: Incluye registros adicionales de una carpeta específica
El siguiente filtro de exportación exporta registros de Transparencia de acceso de una carpeta específica, además de los registros predeterminados:
log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Ejemplo de filtro de exportación: Excluye registros de un proyecto específico
El siguiente filtro de exportación exporta los registros predeterminados de toda la organización de Google Cloud, excepto de un proyecto específico:
(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")
Exporta metadatos de recursos de Google Cloud
Puedes exportar los metadatos de tus recursos de Google Cloud desde Cloud Asset Inventory a Google Security Operations. Estos metadatos de recursos se extraen de tu Cloud Asset Inventory y constan de información sobre los activos, los recursos y las identidades, incluidos los siguientes:
- Entorno
- Ubicación
- Zona
- Modelos de hardware
- Relaciones de control de acceso entre identidades y recursos
Se exportarán los siguientes tipos de metadatos de recursos de Google Cloud a tu instancia de Google Security Operations:
GCP_BIGQUERY_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_STORAGE_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_SQL_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
Los siguientes son ejemplos de metadatos de activos de Google Cloud:
- Nombre de la aplicación:
Google-iamSample/0.1
- Nombre del proyecto:
projects/my-project
Para exportar los metadatos de los recursos de Google Cloud a Google Security Operations, establece el botón de activación Cloud Asset Metadata como Habilitado.
Para obtener más información sobre los analizadores de contexto, consulta Analizadores de contexto de Google Security Operations.
Exporta los resultados de Security Command Center
Puedes exportar los resultados de Event Threat Detection de Security Command Center Premium y todos los demás resultados a Google Security Operations.
Para obtener más información sobre los hallazgos de ETD, consulta Descripción general de Event Threat Detection.
Para exportar los resultados de Security Command Center Premium a Google Security Operations, configura el botón de activación Resultados de Security Command Center Premium como Habilitado.
Exporta datos de Sensitive Data Protection a Google Security Operations
Para transferir los metadatos del activo de protección de datos sensibles (DLP_CONTEXT
), sigue estos pasos:
- Completa la sección anterior de este documento para habilitar la transferencia de datos de Google Cloud.
- Configura la protección de datos sensibles para crear perfiles de datos.
- Establece la configuración de análisis para publicar perfiles de datos. a Google Security Operations.
Consulta la documentación de Protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos para datos de BigQuery.
Inhabilita la transferencia de datos de Google Cloud
Los pasos para inhabilitar la transferencia directa de datos desde Google Cloud son diferentes según cómo esté configurada Google Security Operations. Elige una de estas opciones:
Si tu instancia de Google Security Operations está vinculada a un proyecto de tu propiedad y administrar, sigue estos pasos:
- Selecciona el proyecto vinculado a tu instancia de Google Security Operations.
- En la consola de Google Cloud, navega a la pestaña Transferencia en Google SecOps.
Ve a la página de Google SecOps - En el menú Organización, selecciona la organización desde la que se exportan los registros.
- Establece el botón de activación Enviar datos a Google Security Operations en Inhabilitado.
- Si configuraste la exportación de datos desde varias organizaciones y también quieres inhabilitarlas, sigue estos pasos para cada organización.
Si tu instancia de Google Security Operations está vinculada a un proyecto que Google Cloud es propietario y administra, sigue estos pasos:
- Navega a la página Google SecOps > Transferencia en la consola de Google Cloud.
Ir a la página de Google SecOps - EN el menú de recursos, selecciona la organización que está vinculada a tu cuenta de Google Security Operations. y desde donde transfieres datos.
- Marca la casilla Quiero desconectar Google Security Operations y dejar de enviar registros de Google Cloud a Google Security Operations.
- Haz clic en Desconectar Google Security Operations.
- Navega a la página Google SecOps > Transferencia en la consola de Google Cloud.
Soluciona problemas
- Si las relaciones entre identidades y recursos no están en tu instancia de Google Security Operations, inhabilita y, luego, vuelve a habilitar la transferencia directa de datos de registro a Google Security Operations.
- Los metadatos de los recursos de Google Cloud se transfieren periódicamente a Google Security Operations. Espera varias horas para que los cambios sean visibles en la IU y las APIs de Google Security Operations.
¿Qué sigue?
- Abre tu instancia de Google Security Operations con la URL específica del cliente que te proporcionó tu representante de Google Security Operations.
- Obtén más información sobre Google Security Operations.