Como ingerir registros do GCP no Chronicle

Nesta página, mostramos como ativar e desativar a ingestão de registros do GCP no Chronicle. Com o Chronicle, você armazena, pesquisa e examina as informações de segurança agregadas da sua empresa por até meses.

Antes de começar

Antes de ingerir os registros do GCP na sua conta do Chronicle, é preciso concluir as seguintes etapas:

  1. Entre em contato com o representante do Chronicle e receba o código de acesso único necessário para processar os registros do GCP.
  2. Conceda os papéis do IAM necessários para você acessar a seção do Chronicle:
    • Papel de administrador de serviço do Chronicle (em inglês) para executar todas as atividades.
    • Papel do IAM do Chronicle Service Viewer para ver apenas o estado de processamento.

Como conceder papéis do IAM

É possível conceder os papéis de IAM necessários usando o Console do Google Cloud ou a CLI da gcloud.

Para conceder papéis do IAM usando o console do Google Cloud, conclua as seguintes etapas:

  1. Faça login na organização do GCP a que você quer se conectar e acesse a tela do IAM usando Products > IAM & Admin > IAM.
  2. Na tela "IAM", selecione o usuário e clique em Editar membro.

  3. Na tela "Editar permissões", clique em Adicionar outro papel e pesquise o Chronicle para encontrar os papéis do IAM.

  4. Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a ferramenta de linha de comando gcloud, conclua as seguintes etapas:

  1. Verifique se você fez login na organização correta. Verifique isso executando o comando gcloud init.
  2. Para conceder o papel de administrador do administrador na ferramenta gcloud, execute o seguinte comando:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Para conceder o papel de IAM do visualizador a partir da ferramenta gcloud, execute o seguinte comando:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

Como ativar o processamento de registros do GCP

Para ativar a ingestão de registros do GCP na sua conta do Chronicle, conclua as etapas a seguir:

  1. Navegue até a página do Chronicle para o Console do Google Cloud.
    Acessar a página do Chronicle
    (em inglês)

  2. Insira seu código de acesso único no campo Código de acesso único do Google Chrome.

  3. Marque a caixa Eu concordo com os Termos e Condições de uso dos meus dados do Google Cloud por Chronicle.

  4. Clique em Conectar Chronicle.

    Conecte a página do Chronicle.

Seus registros do GCP agora serão enviados ao Chronicle. Você pode usar os recursos de análise do Chronicle para investigar problemas relacionados à segurança.

Como desativar temporariamente a ingestão de registros do GCP

Para desativar temporariamente o processamento de registros do GCP para sua conta do Chronicle, conclua as seguintes etapas:

  1. Em "Processamento de registros do Google Cloud", selecione Desativado no menu suspenso.

  2. Clique em Save.

    Ingestão de registros do GCP.

  3. É possível retornar a qualquer momento e definir o menu suspenso como Ativado e clicar em Salvar para reiniciar o processamento de registros do GCP.

Como desativar permanentemente o processamento de registros do GCP

  1. Marque a caixa Quero desconectar o Chronicle e parar de enviar registros do Google Cloud para o Chronicle.

  2. Clique em Desconectar Chronicle.

    Desconecte o Chronicle.

Tipos de registros do GCP

Quando você ativa a ingestão de registros do GCP, os seguintes tipos de registro do GCP podem ser ingeridos na sua conta do Chronicle:

Tipo de registro compatível Tipo de sub-registro compatível Mais informações
Registros do Cloud DNS N/A Geração de registros e monitoramento
Registros de auditoria do Cloud Registros de auditoria de atividade do administrador
Registros de auditoria de Eventos do sistema
Registros de auditoria do Cloud

A seguir

  • Abra sua conta do Chronicle usando o URL específico do cliente fornecido pelo representante do Chronicle.
  • Saiba mais sobre o Chronicle.