Transfiere datos de Google Cloud a Chronicle

En esta página, se muestra cómo inhabilitar y habilitar la transferencia de datos de Google Cloud a Chronicle. Chronicle te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa durante meses o más tiempo según el período de retención de datos.

Descripción general

Existen dos opciones para enviar datos de Google Cloud a Chronicle. Elegir la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Chronicle en tiempo real. Los servicios de Google Cloud generan estos registros.

Chronicle recibe registros incluso si se excluyen a nivel de proyecto en Google Cloud, pero se incluyen en el filtro de exportación de registros y en el registro de Google Cloud a nivel de la organización. Para excluir registros de Chronicle, debes actualizar el filtro de exportación de registros de Chronicle en Google Cloud.

Los tipos de registros disponibles incluyen los siguientes:

Para recopilar los registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, crea un ticket de asistencia con Chronicle para proporcionar comentarios que se puedan considerar en el futuro como tipo de registro a través de la opción 1.

Para obtener filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a Chronicle.

También se pueden enviar a Chronicle los metadatos adicionales de Google Cloud que se usarán como contexto con fines de enriquecimiento. Consulta Exporta metadatos de recursos de Google Cloud a Chronicle para obtener más detalles.

Opción 2: Google Cloud Storage

Cloud Logging puede enrutar registros a Cloud Storage para que Chronicle los recupere de forma programada.

Si quieres obtener información para configurar Cloud Storage para Chronicle, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Para poder transferir tus datos de Google Cloud a la instancia de Chronicle, debes completar los siguientes pasos:

  1. Comunícate con tu representante de Chronicle y obtén el código de acceso único que necesitas para transferir tus datos de Google Cloud.

  2. Otorga los siguientes roles de IAM necesarios para acceder a la sección de Chronicle:

    • Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es la función de IAM para realizar todas las actividades.
    • Visualizador de servicios de Chronicle (roles/chroniclesm.viewer): Es un rol de IAM que permite ver solo el estado de la transferencia.
    • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor): Obligatorio para habilitar la transferencia de metadatos de Cloud Asset.

  3. Si planeas habilitar los metadatos de Cloud Asset, también debes habilitar el servicio de Google Cloud para el nivel Estándar de Security Command Center o el nivel Premium de Security Command Center. Si quieres obtener más información, consulta Activa Security Command Center para una organización.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

  1. Accede a la organización de Google Cloud a la que deseas conectarte y navega a la pantalla de IAM mediante Productos > IAM y administración > IAM.

  2. En la pantalla de IAM, selecciona el usuario y haz clic en Editar miembro.

  3. En la pantalla Edit Permissions, haz clic en Add Another Role y busca Chronicle para encontrar los roles de IAM.

  4. Una vez que asignes los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

  1. Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.

  2. Para otorgar el rol de IAM Administrador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID numérico de la organización.
    • USER_EMAIL: Es la dirección de correo electrónico del usuario administrador.

  3. Para otorgar el rol de IAM de visualizador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Para otorgar la función de editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Habilita la transferencia de datos de Google Cloud

Los datos de Google Cloud se transfieren mediante una API interna privada entre Security Command Center y Chronicle. La transferencia nunca llega a la red externa ni usa direcciones IP. Google accede a los registros de Google Cloud directamente según la autenticación realizada con el código único que proporciona Chronicle para Security Command Center.

Para habilitar la transferencia de datos de tu organización de Google Cloud a la instancia de Chronicle, completa los siguientes pasos:

  1. Navega a la página de Chronicle de la consola de Google Cloud.
    Ir a la página de Chronicle

  2. Ingresa el código de acceso único en el campo 1-time Chronicle access code.

  3. Para dar tu consentimiento para el uso de Chronicle, marca la casilla Acepto los términos y condiciones del uso de mis datos de Google Cloud por parte de Chronicle.

  4. Haz clic en Conectar Chronicle.

Se enviarán tus datos de Google Cloud a Chronicle. Puedes usar las funciones de análisis de Chronicle para investigar problemas relacionados con la seguridad. En las siguientes secciones, se describen las formas de ajustar los tipos de datos de Google Cloud que se enviarán a Chronicle

Exporta registros de Google Cloud a Chronicle

Puedes exportar los siguientes tipos de datos de Google Cloud a tu instancia de Chronicle:

  • GCP_CLOUDAUDIT:
    • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")
  • GCP_CLOUD_NAT:
    • log_id("compute.googleapis.com/nat_flows")
  • GCP_DNS:
    • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
  • GCP_FIREWALL:
    • log_id("compute.googleapis.com/firewall")
  • GCP_IDS:
    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")
  • GCP_LOADBALANCING:
    • log_id("requests")
    • log_id("loadbalancing.googleapis.com/external_regional_requests")
    • log_id("networksecurity.googleapis.com/network_dos_attack_mitigations")
    • log_id("networksecurity.googleapis.com/dos_attack")
    • Esto incluye los registros de Google Cloud Armor y Cloud Load Balancing
  • GCP_CLOUDSQL:
    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")
  • NIX_SYSTEM:
    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
  • LINUX_SYSMON:
    • log_id("sysmon.raw")
  • REGISTRO DE WINEVT:
    • log_id("winevt.raw")
    • log_id("windows_event_log")
  • BRO_JSON:
    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")
  • KUBERNETES_NODE:
    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")
  • AUDITORÍA:
    • log_id("audit_log")
  • GCP_APIGEE_X:
    • log_id("apigee-logs")
    • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
    • Ajusta la expresión regular del filtro de registro según sea necesario.
  • GCP_RECAPTCHA_ENTERPRISE:
    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")
  • GCP_RUN:
    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")
  • GCP_NGFW_ENTERPRISE:
    • log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar tus registros de Google Cloud a Chronicle, habilita la opción Registros de Google Cloud. Todos los tipos de registros de Google Cloud mencionados anteriormente se exportarán a tu instancia de Chronicle.

Registros de Google Cloud

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Análisis de registros de seguridad en Google Cloud.

Exportar configuración de filtros

De forma predeterminada, los registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y de Cloud DNS se envían a tu cuenta de Chronicle. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de registros de Google.

A fin de definir un filtro personalizado para tus registros, completa los siguientes pasos:

  1. Crea un filtro personalizado para tus registros con el lenguaje de consulta de registros a fin de definirlo. En la siguiente documentación, se describe cómo definir este tipo de filtro: /logging/docs/view/logging-query-language.

  2. Navega al Explorador de registros con el vínculo proporcionado en la pestaña Exportar configuración de filtro, copia tu nueva consulta en el campo Consulta y haz clic en Ejecutar consulta para probarla.

    Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente los que deseas exportar a Chronicle.

Completa los siguientes pasos en la pestaña Exportar configuración de filtros:

  1. Cuando el filtro esté listo, haz clic en el ícono de edición y pégalo en el campo Exportar filtro.

  2. Haz clic en Guardar filtro personalizado. El nuevo filtro personalizado funciona con todos los registros nuevos exportados a tu cuenta de Chronicle.

  3. Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer configuración predeterminada. Primero, asegúrate de guardar una copia de tu filtro personalizado.

Ajusta los filtros de registros de auditoría de Cloud

Los registros de acceso a los datos de auditoría de Cloud pueden producir un gran volumen de registros sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Chronicle, debes filtrar los registros que generan las actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de gran volumen, como las operaciones Read y List de Cloud Storage y Cloud SQL:

  ( `log_id("cloudaudit.googleapis.com/data_access")`
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para obtener más información sobre cómo ajustar los registros de acceso a los datos de auditoría de Cloud, consulta aquí.

Exportar ejemplos de filtros

En los siguientes ejemplos de filtros de exportación, se muestra cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu cuenta de Chronicle.

Ejemplo de filtro de exportación 1: incluye tipos de registros adicionales

Con el siguiente filtro de exportación, se exportan registros de transparencia de acceso además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación 2: incluye registros adicionales de un proyecto específico

Con el siguiente filtro de exportación, se exportan los registros de Transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación 3: incluye registros adicionales de una carpeta específica

Con el siguiente filtro de exportación, se exportan los registros de transparencia de acceso de una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación 4: excluye registros de un proyecto específico

Con el siguiente filtro de exportación, se exportan los registros predeterminados de toda la organización de Google Cloud, excepto de un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadatos de activo de Google Cloud a Chronicle

Puedes exportar tus metadatos de recursos de Google Cloud a Chronicle. Estos metadatos de recurso se obtienen de Google Cloud Asset Inventory y consisten en información sobre tus recursos, identidades y recursos, incluida la siguiente información:

  • Entorno
  • Ubicación
  • Zona
  • Modelos de hardware
  • Relaciones de control de acceso entre identidades y recursos

A continuación, se indican los tipos específicos de metadatos de recursos de Google Cloud que se exportarán a tu cuenta de Chronicle:

  • GCP_BIGQUERY_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_KUBERNETES_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_STORAGE_CONTEXT

Estos son algunos ejemplos de metadatos de Google Cloud Asset:

  • Nombre de la aplicación: Google-iamSample/0.1
  • Nombre del proyecto: projects/my-project

Algunos ejemplos de campos de registro de contexto de Resource Manager incluyen assetType, resource.data.name y resource.version.

Para obtener más información sobre los tipos de recursos, consulta Tipos de recursos compatibles con Cloud Asset Inventory.

Para exportar los metadatos de tus recursos de Google Cloud a Chronicle, habilita Cloud Asset Metadata.

Habilita los metadatos de recursos de Cloud.

Referencia de la asignación de campos y tipos de recursos compatibles

En la siguiente tabla, se enumeran los analizadores de contexto que admite Chronicle, la etiqueta de transferencia correspondiente y los tipos de recursos compatibles.

Para ver la documentación de referencia de asignación del analizador de contexto, haz clic en el nombre correspondiente del analizador de contexto en la tabla.

Nombre del servicio Etiqueta de transferencia Tipos de recursos admitidos
BigQuery GCP_BIGQUERY_CONTEXT
Resource Manager GCP_RESOURCE_MANAGER_CONTEXT
Cloud SQL GCP_SQL_CONTEXT
Cloud Functions GCP_CLOUD_FUNCTIONS_CONTEXT
Identity and Access Management GCP_IAM_CONTEXT
Network Connectivity Center GCP_NETWORK_CONNECTIVITY_CONTEXT
Google Kubernetes Engine GCP_KUBERNETES_CONTEXT
Compute Engine GCP_COMPUTE_CONTEXT

Exportando los resultados de Security Command Center a Chronicle

Puedes exportar los resultados de la detección de eventos de amenazas (ETD) Premium de Security Command Center y todos los demás resultados a Chronicle.

Para obtener más información sobre los resultados de Event Threat Detection, consulta la descripción general de Security Command Center.

Para exportar los hallazgos del nivel Premium de Security Command Center a Chronicle, habilita el botón Resultados Premium de Security Command Center.

Habilita los hallazgos del nivel Premium de Security Command Center.

Exporta datos de protección de datos sensibles a Chronicle

Para transferir los metadatos del activo de protección de datos sensibles (DLP_CONTEXT), sigue estos pasos:

  1. Para habilitar la transferencia de datos de Google Cloud, completa la sección anterior de este documento.
  2. Configura la protección de datos sensibles para los datos de perfil.
  3. Establece la configuración del análisis para publicar perfiles de datos en Chronicle.

Consulta la documentación sobre protección de datos sensibles para obtener información detallada sobre la creación de perfiles de datos de BigQuery.

Inhabilita la transferencia de datos de Google Cloud

  1. Marca la casilla con la etiqueta Quiero desconectar Chronicle y dejar de enviar registros de Google Cloud a Chronicle.

  2. Haz clic en Desconectar Chronicle.

    Desconectar Chronicle

Soluciona problemas

  • Si las relaciones entre los recursos y las identidades no están en tu sistema de Chronicle, configura el botón de activación Export Cloud logs to Chronicle para inhabilitarlo y, luego, volver a habilitarlo.
  • Los metadatos de los recursos se transfieren periódicamente a Chronicle. Espera varias horas para que los cambios sean visibles en la IU y las APIs de Chronicle.

¿Qué sigue?

  • Abre tu cuenta de Chronicle con la URL específica del cliente que proporcionó tu representante de Chronicle.
  • Obtén más información sobre Chronicle.