Transfiere datos de Google Cloud a Google Security Operations

En esta página, se muestra cómo inhabilitar y habilitar la transferencia de tus datos de Google Cloud a Google Security Operations. Google Security Operations te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa con una antigüedad de meses o más, de acuerdo con tu período de retención de datos.

Descripción general

Hay dos opciones para enviar datos de Google Cloud a Google Security Operations. Elegir la opción correcta depende del tipo de registro.

Opción 1: Transferencia directa

Se puede configurar un filtro especial de Cloud Logging en Google Cloud para enviar tipos de registros específicos a Google Security Operations en tiempo real. Los servicios de Google Cloud generan estos registros.

Los tipos de registros disponibles incluyen los siguientes:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Sistema de detección de intrusiones de Cloud
• Cloud Load Balancing
• Cloud SQL
• Registros de eventos de Windows
• syslog de Linux
• Sysmon de Linux
• Zeek
• Google Kubernetes Engine
• Daemon de auditoría (auditd)
• Apigee
• reCAPTCHA Enterprise
• Registros de Cloud Run (GCP_RUN)

Para recopilar registros de aplicaciones de Compute Engine o Google Kubernetes Engine (GKE) (como Apache, Nginx o IIS), usa la opción 2. Además, crea un ticket de asistencia con Google Security Operations para proporcionar comentarios que te permitan evaluar la posibilidad de brindar asistencia con la transferencia directa (opción 1).

Para ver filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a Google Security Operations.

También puedes enviar metadatos de recursos de Google Cloud que se usan para el enriquecimiento de contexto. Consulta Exporta metadatos de recursos de Google Cloud a Google Security Operations para obtener más detalles.

Opción 2: Google Cloud Storage

Cloud Logging puede enrutar registros a Cloud Storage para que Google Security Operations los recupere de forma programada.

Si quieres obtener más información sobre cómo configurar Cloud Storage para Google Security Operations, consulta Administración de feeds: Cloud Storage.

Antes de comenzar

Antes de transferir datos de Google Cloud a una instancia de Google Security Operations, debes completar los siguientes pasos:

1. Otorga los siguientes roles de IAM necesarios para acceder a la sección Google Security Operations:

   • Administrador del servicio de Chronicle (roles/chroniclesm.admin): Es el rol de IAM para realizar todas las actividades.
   • Visualizador del servicio de Chronicle (roles/chroniclesm.viewer): Es el rol de IAM para ver solo el estado de transferencia.
   • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor): Se requiere para habilitar la transferencia de metadatos de Cloud Asset.

2. Si planeas habilitar Cloud Asset Metadata, también debes habilitar ya sea el nivel Estándar de Security Command Center, el nivel Premium o Security Command Center Enterprise. Consulta la Descripción general de la activación a nivel de la organización para obtener más información.

Otorga funciones de IAM

Puedes otorgar los roles de IAM necesarios con la consola de Google Cloud o con gcloud CLI.

Para otorgar roles de IAM con la consola de Google Cloud, completa los siguientes pasos:

1. Accede a la organización de Google Cloud a la que deseas conectarte y navega a la pantalla de IAM con la opción Productos > IAM y Administrador > IAM

2. En la pantalla de IAM, selecciona el usuario y haz clic en Editar miembro.

3. En la pantalla Editar permisos, haz clic en Agregar otro rol y busca Google Security Operations para encontrar los roles de IAM.

4. Una vez que hayas asignado los roles, haz clic en Guardar.

Para otorgar roles de IAM con Google Cloud CLI, completa los siguientes pasos:

1. Asegúrate de que accediste a la organización correcta. Verifica esto con la ejecución del comando gcloud init.

2. Para otorgar el rol de IAM de administrador del servicio de Chronicle con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Reemplaza lo siguiente:

   • ORGANIZATION_ID: Es el ID numérico de la organización.
   • USER_EMAIL: la dirección de correo electrónico del usuario.

3. Para otorgar el rol de IAM de visualizador de servicios de Chronicle con gcloud, ejecuta el siguiente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Para otorgar el rol Editor administrador del centro de seguridad con gcloud, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Habilitar la transferencia directa desde Google Cloud

Los pasos para habilitar la transferencia directa desde Google Cloud son diferentes según la propiedad del proyecto al que está vinculada su instancia de Google Security Operations.

• Si está vinculado a un proyecto del que eres propietario y administrador, sigue los pasos Configura la transferencia cuando el proyecto sea propiedad del cliente. Este enfoque te permite configurar la transferencia de datos desde más de una organización de Google Cloud.

• Si está vinculado a un proyecto que Google Cloud posee y administra, Sigue los pasos que se indican en Configura la transferencia cuando un proyecto es propiedad de Google Cloud.

Después de configurar la transferencia directa, tus datos de Google Cloud se envían a Google Security Operations. Puedes usar las funciones de análisis de Google Security Operations para investigar los problemas relacionados con la seguridad.

Configurar la transferencia cuando el proyecto sea propiedad del cliente

Sigue estos pasos si eres el propietario del proyecto de Google Cloud.

Puedes configurar la transferencia directa desde varias organizaciones con la misma política de página de configuración. Sigue estos pasos para crear una configuración nueva y editar una configuración existente.

Cuando migras una instancia existente de Google Security Operations para que se vincule a un proyecto del que eres propietario, y, si la transferencia directa se configuró antes de la migración, la configuración de transferencia directa también se migraron.

1. Navega a Google SecOps > Página Configuración de transferencia en la consola de Google Cloud.
   Ir a la página de Google SecOps
2. Selecciona el proyecto que está vinculado a tu instancia de Google Security Operations.

3. En el menú Organización, selecciona la organización desde la que se realizarán los registros. exportarse. El menú muestra las organizaciones a las que tienes permiso para acceder. La lista puede incluir organizaciones que no están vinculadas a la instancia de Google SecOps. No puedes configurar una organización que envíe datos a una instancia diferente de Google SecOps.

   

4. En la sección Configuración de la transferencia de Google Cloud, haz clic en el botón de activación Envía datos a Google Security Operations para habilitar el envío de los registros a Google Security Operations.

5. Selecciona una o más de las siguientes opciones para definir el tipo de datos que se envían a Google Security Operations:

   • Google Cloud Logging: Para obtener más información sobre esta opción, consulta Exportar registros de Google Cloud.
   • Cloud Asset Metadata: Para obtener más información sobre esta opción, consulta Exportar metadatos de recursos de Google Cloud.
   • Hallazgos de la versión Premium del centro de seguridad: Para obtener más información sobre esta opción, consulta Exporta los resultados de la versión Premium del Centro de seguridad.

6. En la sección Configuración del filtro de exportación del cliente, define Exporta filtros que personalizan Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud. para los tipos de datos de registro que exportas.

7. Para transferir registros de una organización adicional a la misma instancia de Google Security Operations, selecciona la organización en el menú Organización y, luego, repite los pasos para definir el tipo de datos a exportar y exportar filtros. Verás varias organizaciones en el menú Organización.

8. Para exportar datos de Google Cloud Data Loss Prevention a Google Security Operations, consulta Exporta los datos de Google Cloud Data Loss Prevention a Google Security Operations.

Configura la transferencia cuando un proyecto es propiedad de Google Cloud

Si Google Cloud es el propietario del proyecto, haz lo siguiente para configurar la transferencia directa de tu organización de Google Cloud a tu instancia de Google Security Operations:

1. Navega a Google SecOps > Descripción general > La pestaña Transferencia de la consola de Google Cloud Ir a la pestaña Transferencia de Google SecOps
2. Haz clic en el botón Administrar la configuración de transferencia de la organización.
3. Si ves el mensaje La página no es visible para los proyectos, selecciona organización y, luego, haz clic en Seleccionar.
4. Ingresa tu código de acceso de uso único en el campo Código de acceso único de Google Security Operations.
5. Marca la casilla Acepto los términos y condiciones de El uso de mis datos de Google Cloud por parte de Google Security Operations.
6. Haz clic en Conectar Google SecOps.
7. Ve a la pestaña Configuración global de transferencia de la organización.

8. Selecciona el tipo de datos que se enviarán habilitando una o más de las siguientes opciones:

   • Google Cloud Logging: Para obtener más información sobre esta opción, consulta Exporta registros de Google Cloud.
   • Metadatos de Cloud Asset. Para obtener más información sobre esta opción, consulta Exportar metadatos de recursos de Google Cloud.
   • Hallazgos de la versión Premium del centro de seguridad: Para obtener más información sobre esta opción, consulta Exporta los resultados de la versión Premium del Centro de seguridad.

9. Vaya a la pestaña Export Filter Settings.

10. En la sección Configuración del filtro de exportación del cliente, define Exporta filtros que personalizan Cloud Logging exportados a Google Security Operations. Consulta Exporta registros de Google Cloud. para los tipos de datos de registro que exportas.

11. Para exportar datos de Google Cloud Data Loss Prevention a Google Security Operations, consulta Exporta los datos de Google Cloud Data Loss Prevention a Google Security Operations.

Exporta registros de Google Cloud

Después de habilitar Cloud Logging, puedes exportar los siguientes tipos de Datos de Google Cloud a tu instancia de Google Security Operations, enumerados por tipo de registro y etiqueta de transferencia de Google Security Operations:

• Registros de auditoría de Cloud(GCP_CLOUDAUDIT): Incluye los registros de actividad del administrador, eventos del sistema, transparencia de acceso y política denegada.
  • log_id("cloudaudit.googleapis.com/activity") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/system_event") (exportado por el filtro predeterminado)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Registros de Cloud NAT(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Registros de Cloud DNS (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (exportado por el filtro predeterminado)
• Registros de firewall de nueva generación de Cloud(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Esto incluye registros de Google Cloud Armor y Cloud Load Balancing
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$" Ajusta la expresión regular del filtro de registro según sea necesario.
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar los registros de Google Cloud a Google Security Operations, establece el botón de activación Habilitar los registros de Cloud como Habilitado. Los tipos de registros de Google Cloud admitidos se pueden exportar a tu instancia de Google Security Operations.

Para conocer las prácticas recomendadas sobre qué filtros de registro usar, consulta Análisis de registros de seguridad en Google Cloud.

Exportar configuración de filtros

Configuración del filtro de exportación personalizado

De forma predeterminada, tus Registros de auditoría de Cloud (actividad del administrador y eventos del sistema) y Cloud DNS se envían a tu instancia de Google Security Operations. Sin embargo, puedes personalizar el filtro de exportación para incluir o excluir tipos específicos de registros. El filtro de exportación se basa en el lenguaje de consulta de Google Logging.

A fin de definir un filtro personalizado para tus registros, completa los siguientes pasos:

1. Define tu filtro creando un filtro personalizado para tus registros con el y el lenguaje de consulta de Logging. Consulta Lenguaje de consulta de Logging para obtener información sobre cómo definir este tipo de filtro.

2. Navega a la página de Google SecOps en la consola de Google Cloud. y selecciona un proyecto.
   Ir a la página Google Security Operations
   

3. Inicia el Explorador de registros con el vínculo proporcionado en la pestaña Export Filter Settings.

4. Copia tu nueva consulta en el campo Consulta y haz clic en Ejecutar consulta para probarla.

5. Copia tu consulta nueva en el Explorador de registros > Query y, luego, haz clic en Run Query para probarlo.

6. Verifica que los registros coincidentes que se muestran en el Explorador de registros sean exactamente lo que quieres exportar a Google Security Operations. Cuando el filtro esté listo, Cópialo en la sección Configuración personalizada del filtro de exportación de Google Security Operations.

7. Vuelve a la sección Configuración personalizada del filtro de exportación en la página Google SecOps.

   Sección de la configuración del filtro de exportación personalizado

8. Haz clic en el ícono de edición del campo Exportar filtro y pega el filtro en el campo.

9. Haga clic en el botón Guardar. El nuevo filtro personalizado funciona con todos los registros nuevos exportados a tu instancia de Google Security Operations.

10. Para restablecer el filtro de exportación a la versión predeterminada, haz clic en Restablecer la configuración predeterminada. Primero, asegúrese de guardar una copia de su filtro personalizado.

Ajusta los filtros de Registros de auditoría de Cloud

Los registros de acceso a los datos escritos por los Registros de auditoría de Cloud pueden producir un gran volumen de datos sin mucho valor de detección de amenazas. Si eliges enviar estos registros a Google Security Operations, debes filtrar los registros que se generan por actividades de rutina.

El siguiente filtro de exportación captura los registros de acceso a los datos y excluye los eventos de gran volumen, como las operaciones Read y List de Cloud Storage y Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Si quieres obtener más información para ajustar los registros de acceso a los datos que generan los Registros de auditoría de Cloud, consulta Administra el volumen de registros de auditoría de acceso a los datos.

Exportar ejemplos de filtros

Los siguientes ejemplos de filtros de exportación ilustran cómo puedes incluir o excluir ciertos tipos de registros para que no se exporten a tu instancia de Google Security Operations.

Ejemplo de filtro de exportación: incluye tipos de registro adicionales

El siguiente filtro de exportación exporta registros de Transparencia de acceso además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Ejemplo de filtro de exportación: incluye registros adicionales de un proyecto específico

El siguiente filtro de exportación exporta registros de Transparencia de acceso de un proyecto específico, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: incluye registros adicionales de una carpeta específica

El siguiente filtro de exportación exporta registros de Transparencia de acceso de una carpeta específica, además de los registros predeterminados:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Ejemplo de filtro de exportación: Excluye los registros de un proyecto específico

El siguiente filtro de exportación exporta los registros predeterminados de toda la organización de Google Cloud, excepto de un proyecto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporta metadatos de recursos de Google Cloud

Puedes exportar los metadatos de tus recursos de Google Cloud desde Cloud Asset Inventory a Google Security Operations. Los metadatos de estos activos se extraen de tu Cloud Asset Inventory y contienen información sobre tus activos, identidades y recursos, incluidos los siguientes:

• Entorno
• Ubicación
• Zona
• Modelos de hardware
• Relaciones de control de acceso entre identidades y recursos

Se exportarán los siguientes tipos de metadatos de recursos de Google Cloud a tu instancia de Google Security Operations:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Los siguientes son ejemplos de metadatos de activos de Google Cloud:

• Nombre de la aplicación: Google-iamSample/0.1
• Nombre del proyecto: projects/my-project

Para exportar los metadatos de los recursos de Google Cloud a Google Security Operations, establece el botón de activación Cloud Asset Metadata como Habilitado.

Para obtener más información sobre los analizadores de contexto, consulta Analizadores de contexto de Google Security Operations.

Exportar resultados de Security Command Center

Puedes exportar los hallazgos de la Detección de eventos de amenazas premium de Security Command Center y todos los demás hallazgos a Google Security Operations.

Para obtener más información sobre los hallazgos de ETD, consulta Descripción general de Event Threat Detection.

Para exportar los resultados de la versión Premium de Security Command Center a Google Security Operations, establece el botón de activación Hallazgos de Security Command Center Premium como Habilitado.

Exporta datos de Sensitive Data Protection a Google Security Operations

Para transferir los metadatos del activo de protección de datos sensibles (DLP_CONTEXT), sigue estos pasos:

1. Completa la sección anterior de este documento para habilitar la transferencia de datos de Google Cloud.
2. Configura la protección de datos sensibles para crear perfiles de datos.
3. Establece la configuración de análisis para publicar perfiles de datos. a Google Security Operations.

Consulta la documentación sobre Protección de datos sensibles para obtener información detallada. sobre la creación de perfiles para los datos de BigQuery.

Inhabilitar la transferencia de datos de Google Cloud

Los pasos para inhabilitar la transferencia directa de datos desde Google Cloud son diferentes según cómo esté configurada Google Security Operations. Elige una de estas opciones:

• Si tu instancia de Google Security Operations está vinculada a un proyecto de tu propiedad y administrar, sigue estos pasos:

  1. Selecciona el proyecto que está vinculado a tu instancia de Google Security Operations.
  2. En la consola de Google Cloud, navega a la pestaña Transferencia en Google SecOps.
     Ir a la página de Google SecOps
  3. En el menú Organización, selecciona la organización desde la que se exportan los registros.
  4. Establece el botón de activación Enviar datos a Google Security Operations en Inhabilitado.
  5. Si configuraste la exportación de datos desde varias organizaciones y quieres y inhabilitarlas, sigue estos pasos para cada organización.

• Si tu instancia de Google Security Operations está vinculada a un proyecto que es propiedad de Google Cloud y administra, realiza los siguientes pasos:

  1. Navega a Google SecOps > La página Transferencia de la consola de Google Cloud
     Ir a la página de Google SecOps
  2. EN el menú de recursos, selecciona la organización que está vinculada a tu cuenta de Google Security Operations. y desde donde transfieres datos.
  3. Marca la casilla Quiero desconectar Google Security Operations y dejar de enviar registros de Google Cloud a Google Security Operations.
  4. Haz clic en Desconectar Google Security Operations.

Soluciona problemas

• Si las relaciones entre identidades y recursos no están en tu instancia de Google Security Operations, inhabilita y, luego, vuelve a habilitar la transferencia directa de datos de registro a Google Security Operations.
• Los metadatos de los recursos de Google Cloud se transfieren periódicamente a Google Security Operations. Espera varias horas para que los cambios sean visibles en la IU y APIs de Google Security Operations.

¿Qué sigue?

• Abre tu instancia de Google Security Operations con la URL específica del cliente que te proporcionó tu representante de Google Security Operations.
• Obtén más información sobre Google Security Operations.