Esta página foi traduzida pela API Cloud Translation.

Ingerir dados do Google Cloud para o Google Security Operations

Nesta página, mostramos como ativar e desativar a ingestão de dados do Google Cloud nas Operações de segurança do Google. As Operações de segurança do Google permitem armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa por meses ou mais, de acordo com o período de armazenamento de dados.

Visão geral

Há duas opções para enviar dados do Google Cloud para as Operações de segurança do Google. A escolha da opção correta depende do tipo de registro.

Opção 1: ingestão direta

Um filtro especial do Cloud Logging pode ser configurado no Google Cloud para enviar tipos de registro específicos ao Google Security Operations em tempo real. Esses registros são gerados pelos serviços do Google Cloud.

O Google Security Operations recebe registros mesmo que eles estejam excluídos no nível do projeto no Google Cloud, mas incluídos no filtro de exportação de registros e no Google Cloud Logging no nível da organização. Para excluir registros das Operações de segurança do Google, atualize o filtro de exportação de registros das Operações de segurança do Google no Google Cloud.

Os tipos de registro disponíveis incluem:

Registros de auditoria do Cloud
Cloud NAT
Cloud DNS
Firewall de Próxima Geração do Cloud
Sistema de detecção de intrusões do Cloud
Cloud Load Balancing
Cloud SQL
Registros de eventos do Windows
Syslog do Linux
Linux Sysmon
Zeek
Google Kubernetes Engine
Daemon de auditoria (auditado)
Apigee
reCAPTCHA Enterprise
Registros do Cloud Run (GCP_RUN)
Firewall de Próxima Geração do Cloud

Para coletar registros de aplicativos do Compute Engine ou do Google Kubernetes Engine (GKE) (como Apache, Nginx ou IIS), use a Opção 2. Além disso, abra um tíquete de suporte com as Operações de segurança do Google para dar feedback para consideração futura ao suporte como um tipo de registro usando a Opção 1.

Para filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para o Google Security Operations.

Outros metadados do Google Cloud a serem usados como contexto para fins de enriquecimento também podem ser enviados às Operações de segurança do Google. Consulte Como exportar metadados de recursos do Google Cloud para o Google Security Operations para mais detalhes.

Opção 2: Google Cloud Storage

O Cloud Logging pode encaminhar registros ao Cloud Storage para que sejam buscados pelas Operações de segurança do Google de maneira programada.

Para detalhes sobre como configurar o Cloud Storage para Google Security Operations, consulte Gerenciamento de feed: Cloud Storage.

Antes de começar

Antes de ingerir dados do Google Cloud na sua instância do Google Security Operations, siga estas etapas:

Entre em contato com seu representante de operações de segurança do Google e receba o código de acesso único necessário para ingerir seus dados do Google Cloud.
Conceda os seguintes papéis do IAM necessários para você acessar a seção Operações de segurança do Google:
- Chronicle Service Admin (roles/chroniclesm.admin): papel do IAM para executar todas as atividades.
- Chronicle Service Viewer (roles/chroniclesm.viewer): papel do IAM para visualizar apenas o estado de ingestão.
- Editor administrador da Central de segurança (roles/securitycenter.adminEditor): necessário para ativar a ingestão de metadados dos recursos do Cloud.
Se você planeja ativar o Cloud Asset Metadata, também precisa ativar o nível Standard do Security Command Center ou o serviço do Google Cloud no nível Premium do Security Command Center. Consulte Ativar o Security Command Center para uma organização para mais informações.

Conceder papéis do IAM

É possível conceder os papéis do IAM necessários usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o console do Google Cloud, conclua as etapas a seguir:

Faça login na organização do Google Cloud à qual você quer se conectar e navegue até a tela do IAM usando Produtos > IAM e administrador > IAM.
Na tela do IAM, selecione o usuário e clique em Editar membro.

Observação: se você não estiver na visualização Organização do IAM, o botão Editar membro estará desativado e você precisará navegar até a tela do IAM da organização.
Na tela "Editar permissões", clique em Adicionar outro papel e pesquise "Google Security Operations" para encontrar os papéis do IAM.
Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, conclua as etapas a seguir:

Verifique se você fez login na organização correta. Para verificar isso, execute o comando gcloud init.
Para conceder o papel de IAM de administrador do serviço do Chronicle usando gcloud, execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização.
- USER_EMAIL: o endereço de e-mail do usuário administrador.
Para conceder o papel do IAM de Leitor do serviço de operações de segurança do Google usando gcloud, execute o seguinte comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer
```

Para conceder o papel de Editor administrador da Central de segurança usando gcloud, execute o seguinte comando:

 gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Ativar a ingestão de dados do Google Cloud

Os dados do Google Cloud são ingeridos usando uma API interna particular entre o Security Command Center e as Operações de segurança do Google. A ingestão nunca chega à rede externa e nunca usa endereços IP. O Google acessa os registros do Google Cloud diretamente com base na autenticação feita usando o código de uso único fornecido pelo Google Security Operations para o Security Command Center.

Para ativar a ingestão de dados da sua organização do Google Cloud para a instância do Google Security Operations, siga estas etapas:

Acesse a página "Google Security Operations" no console do Google Cloud.
Acessar a página "Operações de segurança do Google"
Insira seu código de acesso único no campo Código de acesso único das Operações de segurança do Google.
Para consentir com o uso das Operações de segurança do Google, marque a caixa Concordo com os Termos e Condições de uso dos meus dados do Google Cloud pelo Chronicle.
Clique em Connect Google Security Operations.

Seus dados do Google Cloud serão enviados para as Operações de segurança do Google. Você pode usar os recursos de análise do Google Security Operations para investigar problemas relacionados à segurança. As seções a seguir descrevem maneiras de ajustar os tipos de dados do Google Cloud que serão enviados às Operações de segurança do Google

Exportar registros do Google Cloud para o Google Security Operations

É possível exportar os seguintes tipos de dados do Google Cloud para sua instância do Google Security Operations:

GCP_CLOUDAUDIT:
- log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
- log_id("cloudaudit.googleapis.com/policy")
- log_id("cloudaudit.googleapis.com/access_transparency")
GCP_CLOUD_NAT:
- log_id("compute.googleapis.com/nat_flows")
GCP_DNS:
- log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
GCP_FIREWALL:
- log_id("compute.googleapis.com/firewall")
GCP_IDS:
- log_id("ids.googleapis.com/threat")
- log_id("ids.googleapis.com/traffic")
GCP_LOADBALANCING:
- log_id("requests")
- log_id("loadbalancing.googleapis.com/external_regional_requests")
- log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
- log_id("networksecurity.googleapis.com/dos_attack")
- Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing
GCP_CLOUDSQL:
- log_id("cloudsql.googleapis.com/mysql-general.log")
- log_id("cloudsql.googleapis.com/mysql.err")
- log_id("cloudsql.googleapis.com/postgres.log")
- log_id("cloudsql.googleapis.com/sqlagent.out")
- log_id("cloudsql.googleapis.com/sqlserver.err")
NIX_SYSTEM:
- log_id("syslog")
- log_id("authlog")
- log_id("securelog")
LINUX_SYSMON:
- log_id("sysmon.raw")
WinEVTLOG:
- log_id("winevt.raw")
- log_id("windows_event_log")
BRO_JSON:
- log_id("zeek_json_streaming_conn")
- log_id("zeek_json_streaming_dhcp")
- log_id("zeek_json_streaming_dns")
- log_id("zeek_json_streaming_http")
- log_id("zeek_json_streaming_ssh")
- log_id("zeek_json_streaming_ssl")
KUBERNETES_NODE:
- log_id("events")
- log_id("stdout")
- log_id("stderr")
AUDITORIA:
- log_id("audit_log")
GCP_APIGEE_X:
- log_id("apigee-logs")
- logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
- Ajuste a expressão regular do filtro de registros conforme necessário
GCP_RECAPTCHA_ENTERPRISE:
- log_id("recaptchaenterprise.googleapis.com/assessment")
- log_id("recaptchaenterprise.googleapis.com/annotation")
GCP_RUN:
- log_id("run.googleapis.com/stderr")
- log_id("run.googleapis.com/stdout")
- log_id("run.googleapis.com/requests")
- log_id("run.googleapis.com/varlog/system")
GCP_NGFW_ENTERPRISE:
- log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar seus registros do Google Cloud para o Google Security Operations, ative a opção Registros do Google Cloud. Todos os tipos de registro do Google Cloud listados acima serão exportados para sua instância de Google Security Operations.

Para práticas recomendadas sobre quais filtros de registro usar, consulte Análise de registros de segurança no Google Cloud.

Exportar configurações do filtro

Por padrão, os registros de auditoria do Cloud (atividade do administrador e evento do sistema) e os registros do Cloud DNS são enviados para sua conta de operações de segurança do Google. No entanto, é possível personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é baseado na linguagem de consulta do Google Logging.

Para definir um filtro personalizado para seus registros, conclua as etapas a seguir:

Para definir o filtro, crie um filtro personalizado para seus registros usando a linguagem de consulta do Logging. A documentação a seguir descreve como definir esse tipo de filtro: /logging/docs/view/logging-query-language
Acesse a Análise de registros usando o link fornecido na guia Exportar configurações do filtro, copie a nova consulta no campo Consulta e clique em Executar consulta para testá-la.

Verifique se os registros correspondentes exibidos na Análise de registros são exatamente os que você pretende exportar para as Operações de segurança do Google.

Conclua as etapas a seguir na guia Exportar configurações do filtro:

Quando o filtro estiver pronto, clique no ícone de edição e cole-o no campo Filtro de exportação.
Clique em Salvar filtro personalizado. O novo filtro personalizado funciona em todos os novos registros exportados para sua conta de Operações de segurança do Google.
Para redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do seu filtro personalizado.

Ajustar filtros do registro de auditoria do Cloud

Os registros do Cloud Audit Data Access podem produzir um grande volume de registros sem muito valor de detecção de ameaças. Se você optar por enviar esses registros para o Google Security Operations, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui eventos de alto volume, como operações de leitura e lista do Cloud Storage e do Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para mais informações sobre como ajustar os registros de acesso a dados de auditoria do Cloud, clique aqui.

Exportar exemplos de filtros

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir determinados tipos de registros da exportação para sua conta de operações de segurança do Google.

Exemplo de filtro de exportação 1: inclua outros tipos de registro

O filtro de exportação a seguir exporta registros de transparência no acesso além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação 2: inclua outros registros de um projeto específico

O filtro de exportação a seguir exporta registros de transparência no acesso de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 3: inclua outros registros de uma pasta específica

O filtro de exportação a seguir exporta registros de transparência no acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação 4: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a organização do Google Cloud, com exceção de um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadados de recursos do Google Cloud para o Google Security Operations

É possível exportar os metadados do recurso do Google Cloud para as Operações de segurança do Google. Esses metadados de recursos são extraídos do Inventário de recursos do Google Cloud e consistem em informações sobre seus recursos, recursos e identidades, incluindo o seguinte:

Ambiente
Local
Zona
Modelos de hardware
Relações de controle de acesso entre recursos e identidades

Veja a seguir os tipos específicos de metadados de recursos do Google Cloud que serão exportados para sua conta de operações de segurança do Google:

GCP_BIGQUERY_CONTEXT
GCP_CLOUD_FUNCTIONS_CONTEXT
GCP_COMPUTE_CONTEXT
GCP_IAM_CONTEXT
GCP_IAM_ANALYSIS
GCP_KUBERNETES_CONTEXT
GCP_NETWORK_CONNECTIVITY_CONTEXT
GCP_RESOURCE_MANAGER_CONTEXT
GCP_SQL_CONTEXT
GCP_STORAGE_CONTEXT

Confira a seguir alguns exemplos de metadados do recurso do Google Cloud:

Nome do aplicativo — Google-iamSample/0.1
Nome do projeto — projects/my-project

Exemplos de campos de registro de contexto do Resource Manager incluem assetType, resource.data.name e resource.version.

Para mais informações sobre os tipos de recursos, consulte os tipos de recursos compatíveis com o Inventário de recursos do Cloud.

Para exportar os metadados do recurso do Google Cloud para o Google Security Operations, ative o botão Metadados do recurso do Cloud.

Referência de mapeamento de campo e tipos de recursos compatíveis

A tabela a seguir lista os analisadores de contexto compatíveis com as Operações de segurança do Google, o rótulo de ingestão correspondente e os tipos de recursos compatíveis.

Para consultar a documentação de referência de mapeamento do analisador de contexto, clique no nome do analisador de contexto correspondente na tabela.

Nome do serviço	Rótulo de ingestão	Tipos de recursos compatíveis
`BigQuery`	`GCP_BIGQUERY_CONTEXT`	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model` `bigquery.googleapis.com/Table`
`Resource Manager`	`GCP_RESOURCE_MANAGER_CONTEXT`	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization` `cloudresourcemanager.googleapis.com/Project` `cloudresourcemanager.googleapis.com/TagBinding` `cloudresourcemanager.googleapis.com/TagKey` `cloudresourcemanager.googleapis.com/TagValue`
`Cloud SQL`	`GCP_SQL_CONTEXT`	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
`Cloud Functions`	`GCP_CLOUD_FUNCTIONS_CONTEXT`	`cloudfunctions.googleapis.com/CloudFunction` `cloudfunctions.googleapis.com/Function`
`Identity and Access Management`	`GCP_IAM_CONTEXT`	`iam.googleapis.com/ServiceAccount` `iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Network Connectivity Center`	`GCP_NETWORK_CONNECTIVITY_CONTEXT`	`networkconnectivity.googleapis.com/Hub` `networkconnectivity.googleapis.com/PolicyBasedRoutes` `networkconnectivity.googleapis.com/Spoke`
`Google Kubernetes Engine`	`GCP_KUBERNETES_CONTEXT`	`apps.k8s.io/Deployment` `apps.k8s.io/ReplicaSet` `batch.k8s.io/Job` `container.googleapis.com/Cluster` `container.googleapis.com/NodePool` `extensions.k8s.io/Ingress` `k8s.io/Namespace` `k8s.io/Node` `k8s.io/Pod` `k8s.io/Service` `networking.k8s.io/Ingress` `networking.k8s.io/NetworkPolicy` `rbac.authorization.k8s.io/ClusterRole` `rbac.authorization.k8s.io/ClusterRoleBinding` `rbac.authorization.k8s.io/Role` `rbac.authorization.k8s.io/RoleBinding`
`Compute Engine`	`GCP_COMPUTE_CONTEXT`	`compute.googleapis.com/Autoscaler` `compute.googleapis.com/Address` `compute.googleapis.com/BackendBucket` `compute.googleapis.com/BackendService` `compute.googleapis.com/Commitment` `compute.googleapis.com/Disk` `compute.googleapis.com/ExternalVpnGateway` `compute.googleapis.com/Firewall` `compute.googleapis.com/FirewallPolicy` `compute.googleapis.com/ForwardingRule` `compute.googleapis.com/GlobalAddress` `compute.googleapis.com/GlobalForwardingRule` `compute.googleapis.com/HealthCheck` `compute.googleapis.com/HttpHealthCheck` `compute.googleapis.com/HttpsHealthCheck` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/InstanceGroup` `compute.googleapis.com/InstanceGroupManager` `compute.googleapis.com/InstanceTemplate` `compute.googleapis.com/Interconnect` `compute.googleapis.com/InterconnectAttachment` `compute.googleapis.com/License` `compute.googleapis.com/MachineImage` `compute.googleapis.com/Network` `compute.googleapis.com/NetworkEndpointGroup` `compute.googleapis.com/NodeGroup` `compute.googleapis.com/NodeTemplate` `compute.googleapis.com/PacketMirroring` `compute.googleapis.com/Project` `compute.googleapis.com/PublicDelegatedPrefix` `compute.googleapis.com/RegionBackendService` `compute.googleapis.com/RegionDisk` `compute.googleapis.com/Reservation` `compute.googleapis.com/ResourcePolicy` `compute.googleapis.com/Route` `compute.googleapis.com/Router` `compute.googleapis.com/SecurityPolicy` `compute.googleapis.com/Snapshot` `compute.googleapis.com/SslCertificate` `compute.googleapis.com/SslPolicy` `compute.googleapis.com/Subnetwork` `compute.googleapis.com/ServiceAttachment` `compute.googleapis.com/TargetHttpProxy` `compute.googleapis.com/TargetHttpsProxy` `compute.googleapis.com/TargetInstance` `compute.googleapis.com/TargetPool` `compute.googleapis.com/TargetTcpProxy` `compute.googleapis.com/TargetSslProxy` `compute.googleapis.com/TargetVpnGateway` `compute.googleapis.com/UrlMap` `compute.googleapis.com/VpnGateway` `compute.googleapis.com/VpnTunnel`

Exportar as descobertas do Security Command Center para as Operações de segurança do Google

É possível exportar as descobertas de detecção de ameaças a eventos (ETD, na sigla em inglês) Premium do Security Command Center e todas as outras descobertas para o Google Security Operations.

Para mais informações sobre as descobertas de detecção de ameaças a eventos, consulte a visão geral do Security Command Center.

Para exportar suas descobertas de nível Premium do Security Command Center para as Operações de segurança do Google, ative a opção Descobertas Premium do Security Command Center.

Exportar dados de proteção de dados sensíveis para as Operações de segurança do Google

Para ingerir metadados do recurso de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

Para ativar a ingestão de dados do Google Cloud, conclua a seção anterior deste documento.
Configurar a proteção de dados sensíveis para dados de perfil.
Defina a configuração de verificação para publicar perfis de dados nas Operações de segurança do Google.

Consulte a documentação da Proteção de Dados Sensíveis para informações detalhadas sobre como criar perfis de dados para dados do BigQuery.

Desativar a ingestão de dados do Google Cloud

Marque a caixa Quero desconectar o Google Security Operations e parar de enviar registros do Google Cloud para o Google Security Operations.
Clique em Desconectar o Google Security Operations.

Solução de problemas

Se as relações entre os recursos e as identidades estiverem ausentes no sistema do Google Security Operations, defina a opção Export Cloud logs to Google Security Operations como desativada e ativada novamente.
Os metadados do recurso são ingeridos periodicamente nas Operações de segurança do Google. Aguarde algumas horas para que as alterações fiquem visíveis na interface e nas APIs das Operações de segurança do Google.

A seguir

Abra sua conta do Google Security Operations usando o URL específico do cliente fornecido pelo seu representante de Operações de Segurança do Google.
Saiba mais sobre as Google Security Operations.