Se usó la API de Cloud Translation para traducir esta página.

Crea y administra feeds con la IU de administración de feeds

Compatible con:

Google SecOps SIEM

En este documento, se proporciona información para crear, administrar y solucionar problemas relacionados con los feeds a través de la IU de administración de feeds. La administración de los feeds incluye la modificación, la habilitación y la eliminación de los feeds.

Antes de comenzar

Cada feed de datos tiene su propio conjunto de requisitos previos que se deben completar antes de configurar el feed en Google Security Operations. Para obtener información sobre los requisitos previos específicos de un tipo de feed, consulta Configuración por tipo de fuente. Busca el tipo de feed de datos que necesitas configurar y sigue las instrucciones proporcionadas.

Formatos de compresión admitidos

Los formatos de compresión compatibles para la transferencia de feeds son: .gz, .tar.gz, .tar, .targz y solr.gz. En la siguiente tabla, se describen los diferentes tamaños de archivo que admite la transformación de los feeds de Google SecOps:

Operación	Tipo de entrada	Tamaño recomendado	Duración esperada	Tamaño máximo
Modelado de datos	CSV	Menos de 5 GB	< 7 min	10 GB
Modelado de datos	CSV	Menos de 5 GB	Aprox. 30 min	10 GB
Modelado de datos	CSV	Por definir	Por definir	2 GB
Modelado de datos	XML / JSON	Menos de 1 GB	< 10 min	2 GB
Modelado de datos	XLS / XLSX	Menos de 50 MB	1 minuto aprox.	50 MB
Combinar archivos	Cualquiera	Menos de 1 GB	Varía según la cantidad de archivos	100 GB
Descomprimir archivos	No es ZIP	Menos de 5 GB	Varía según la cantidad de archivos	10 GB (sin comprimir)
Descomprimir archivos	ZIP	-	Varía según la cantidad de archivos	4 GB (sin comprimir)

Formas de configurar feeds

Los clientes de Google SecOps pueden configurar este feed en la plataforma de dos maneras. Usa el método que mejor funcione para tu entorno:

Configuración de SIEM > Feeds
Centro de contenido > Paquetes de contenido

Ver feeds configurados

En la página Feeds, se muestran todos los feeds que configuraste.

Ve a SIEM Settings > Feeds. En la página principal, se muestran todos los feeds que configuraste.
Mantén el puntero sobre cada fila para mostrar el menú more_vert Más.
En el menú, puedes ver los detalles del feed, editarlo, inhabilitarlo o borrarlo.

Configura varios feeds para una familia de productos (solo para clientes de Google SecOps)

Puedes configurar varios feeds por familia de productos, según el tipo de registro. Los tipos de registros que Google identificó como referencia se marcan como obligatorios. La plataforma proporciona instrucciones de configuración, procedimientos obligatorios y descripciones de todos los parámetros de configuración. Algunos parámetros están predefinidos para simplificar la configuración. Por ejemplo, puedes crear varios feeds en los tipos de registros obligatorios y opcionales para CrowdStrike Falcon. Para obtener más información, consulta Cómo configurar varios feeds.

Cómo agregar un feed

Para agregar un feed a tu cuenta de Google SecOps, completa los siguientes pasos:

Sigue este procedimiento para agregar un feed a través de la página SIEM Settings* {y_luego} Feeds.

En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds. En la página Feeds, se incluyen todos los feeds que Google configuró para tu cuenta, además de los que tú configuraste.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed. Este paso no es relevante para los clientes que usan la plataforma independiente de SIEM de Google SecOps.
Agrega un nombre para el feed.
En la lista Tipo de fuente, selecciona el tipo de fuente para importar datos a Google SecOps. Puedes elegir entre los siguientes tipos de fuentes de feeds:
- Amazon Data Firehose
- Amazon S3
- Amazon S3 (vista previa)
- Amazon SQS
- Amazon SQS (versión preliminar)
- Azure Blob Storage
- Azure Blob Storage (versión preliminar)
- Google Cloud Pub/Sub
- Cloud Storage
- Cloud Storage (versión preliminar)
- Cloud Storage Event Driven (versión preliminar)
- Archivos HTTP(S) (sin API)
- API de terceros
- Webhook
Nota: Cuando uses Amazon SQS, otorga explícitamente permisos de Google SecOps para borrar mensajes de la cola de Amazon SQS.
Nota: Cuando uses feeds de Amazon SQS, asegúrate de que solo un feed consuma mensajes de la cola. Los mensajes que leen otras aplicaciones o feeds no se transfieren al feed actual.
Nota: El uso de Amazon SQS como tipo de fuente de feed solo se admite para los registros en buckets de Amazon S3.
En la lista Tipo de registro, selecciona el tipo de registro que corresponde a los registros que deseas transferir. Los registros disponibles varían según el tipo de fuente que seleccionaste anteriormente.

Nota: Para el tipo de registro AWS CLOUDTRAIL, asegúrate de que los registros estén en formato JSON y de que el nombre del archivo termine con la extensión .json (sin comprimir) o .json.gz (comprimido).

Si seleccionas Cloud Storage como el tipo de fuente, usa la opción Obtener cuenta de servicio para obtener una cuenta de servicio única. Consulta el ejemplo de configuración del feed de Google Cloud Storage.
Haz clic en Siguiente.
Especifica los parámetros necesarios en la pestaña Input Parameters. Las opciones que se presentan aquí varían según la fuente y el tipo de registro seleccionados en la pestaña Establecer propiedades. Mantén el cursor sobre el ícono de signo de interrogación de cada campo para obtener información adicional sobre lo que debes proporcionar.
Opcional: Puedes especificar un espacio de nombres en la pestaña Set Properties. Para obtener más información sobre los espacios de nombres, consulta Trabaja con espacios de nombres de recursos.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pestaña Finalizar.
Haz clic en Enviar. Google SecOps completa una verificación de validación del feed nuevo. Si el feed pasa la verificación, se genera un nombre para él, se envía a Google SecOps y Google SecOps comienza a intentar recuperar datos.

Ejemplo de configuración del feed de Google Cloud Storage

En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed. Este paso no se aplica si usas la plataforma independiente de SIEM de Google SecOps.
Selecciona Cloud Storage en Tipo de fuente.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para los registros de auditoría de Google Kubernetes Engine, selecciona Registros de auditoría de Google Kubernetes Engine como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Google SecOps proporciona una cuenta de servicio única que utiliza para transferir datos.
Opcional: Configura la cuenta de servicio. Para obtener más información, consulta Otorga acceso a la cuenta de servicio de Google SecOps.
Haz clic en Siguiente.
Según la configuración de Cloud Storage que creaste, especifica valores para los siguientes campos:
- URI del bucket de almacenamiento
  
  Nota: Para los tipos de feeds de Cloud Storage basados en eventos (vista previa), configura una suscripción a Pub/Sub para Cloud Storage, como se describe en Configura Pub/Sub.
- Opción de eliminación de la fuente
Para obtener más información sobre cómo configurar buckets de Cloud Storage, consulta Crea buckets.

Nota: Los feeds de bucket de Cloud Storage no funcionan con nombres de carpetas vacíos.
Haz clic en Siguiente y, luego, en Enviar. Precaución: Debes habilitar la lista de entidades permitidas y agregar los rangos de IP para todos los tipos de registros que transfieren datos desde APIs de terceros.

Incluir en la lista de anunciantes permitidos de IP

En esta sección, se describen los requisitos de la lista de entidades permitidas para los feeds de terceros y el Servicio de transferencia de almacenamiento (STS).

Permite los feeds de API de terceros

Habilita la lista de entidades permitidas y agrega los rangos de IP de Google para todos los tipos de registros que transfieren datos desde APIs de terceros.

Habilita el acceso a STS para Amazon S3 y Azure Storage

Los siguientes feeds de Google Cloud Storage usan el STS para transferir datos de los almacenes de blobs de Amazon S3 y Azure Storage a Google SecOps:

Amazon S3 (vista previa)
Amazon SQS (versión preliminar)
Azure Blob Storage (versión preliminar)

El STS envía solicitudes de transferencia de datos a los servicios de almacenamiento de Amazon S3 y Azure desde un conjunto de rangos de direcciones IP definidos del STS. Estos rangos de direcciones IP de STS se publican en el siguiente archivo JSON: https://www.gstatic.com/storage-transfer-service/ipranges.json

Para usar estos tipos de fuentes de feeds de STS, es posible que debas habilitar el acceso a tus almacenes de blobs de Amazon S3 y Azure Storage para las consultas que se originan en una dirección IP definida en los rangos de direcciones IP de STS.

Es posible que debas ajustar las restricciones de acceso a la IP para permitir que STS acceda a tus servicios de almacenamiento de Amazon S3 y Azure:

Extrae los rangos de IP más recientes del archivo JSON.

Te recomendamos que leas los datos de este archivo JSON al menos una vez por semana para mantener actualizada tu configuración de seguridad. Cuando se agrega un rango nuevo al archivo, el sistema espera al menos 7 días antes de usar ese rango para las solicitudes del STS.

Para ver un ejemplo de una secuencia de comandos de Python que recupera rangos de IP de un archivo JSON, consulta Direcciones IP para dominios predeterminados.
Compara el rango de IP actual creationTime con el rango de IP creationTime que se leyó del archivo JSON anterior. Si son diferentes, actualiza las restricciones de acceso a la IP en los almacenes de blobs de Amazon S3 y Azure Storage.
- Para Amazon S3
  
  Para actualizar las restricciones de acceso a IP en tu almacén de blobs de Amazon S3, haz lo siguiente:
  
  Si tu proyecto de AWS usa restricciones de IP para acceder al almacenamiento, debes agregar los rangos de IP que usan los trabajadores de STS a tu lista de IPs permitidas.
  
  Nota: Si usas agentes en lugar de una transferencia sin agente, agrega las direcciones IP de tu máquina de agente a la lista de IPs permitidas.
  
  Para agregar estos rangos como IPs permitidas, usa el campo Condition en un bucket policy, como se describe en la documentación de AWS S3: Administración del acceso según direcciones IP específicas.
- Para Azure Storage
  
  Para actualizar las restricciones de acceso por IP en tu almacén de blobs de Azure Storage, sigue estos pasos:
  
  Si restringes el acceso a tus recursos de Azure con un firewall de Azure Storage, debes agregar los rangos de IP que usan los trabajadores de STS a tu lista de IPs permitidas.
  
  Para agregar estos rangos como IPs permitidas, sigue estas instrucciones: Configura firewalls y redes virtuales de Azure Storage.

Borra los archivos fuente

La opción de borrado de la fuente te permite borrar objetos de la fuente del feed (archivos y carpetas) del almacenamiento después de una transferencia exitosa. Esta opción solo está disponible para los tipos de fuentes de feeds seleccionados, incluido Cloud Storage. Estos tipos de fuentes de feeds incluyen el campo SOURCE DELETION OPTION en sus flujos de trabajo Agregar nuevo y Editar feed.

Opciones de eliminación de la fuente

Para los tipos de fuentes de feeds admitidos, incluido Cloud Storage, el campo OPCIÓN DE BORRADO DE LA FUENTE ofrece las siguientes opciones:
- No borrar archivos nunca
- Cómo borrar archivos transferidos y directorios vacíos
- Cómo borrar archivos transferidos
Microsoft Azure Blob Storage (AZURE_BLOBSTORE) no admite el borrado de archivos fuente. En el campo OPCIÓN DE BORRADO DE LA FUENTE, selecciona solo la opción Nunca borrar archivos.
Para las siguientes fuentes de feeds ("feedSourceType"): GOOGLE_CLOUD_STORAGE_V2, GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN, AMAZON_S3_V2, AMAZON_SQS_V2 y AZURE_BLOBSTORE_V2, el campo OPCIÓN DE BORRADO DE LA FUENTE ofrece dos opciones:
- NUNCA: Nunca borra ningún archivo después de las transferencias.
- ON_SUCCESS: Borra todos los archivos y directorios vacíos después de la transferencia.

Configura un feed de extracción de Pub/Sub

Para configurar un feed de envío de Pub/Sub, haz lo siguiente:

Crea un feed de envío de Pub/Sub.
Especifica la URL del extremo en una suscripción a Pub/Sub.

Crea un feed de inserción de Pub/Sub

En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Google Cloud Pub/Sub Push.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
Haz clic en Siguiente.
Opcional: Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Necesitas esta URL del extremo para crear una suscripción de envío en Pub/Sub.
Opcional: Haz clic en el botón de activación Feed habilitado para inhabilitar el feed. El feed está habilitado de forma predeterminada.
Haz clic en Listo.

Especifica la URL del extremo

Después de crear un feed de envío de Pub/Sub, especifica la URL del extremo de la siguiente manera: En Pub/Sub, crea una suscripción de envío y especifica el extremo HTTPS. Selecciona Habilitar autenticación y una cuenta de servicio.

Crea una suscripción de envío en Pub/Sub. Para obtener más información sobre cómo crear una suscripción de envío, consulta Crea suscripciones de envío.
Especifica la URL del extremo, que está disponible en el feed de envío de Google Cloud Pub/Sub.
Selecciona Habilitar autenticación y, luego, elige una cuenta de servicio.

Configura un feed de Amazon Data Firehose

Para configurar un feed de Amazon Data Firehose, haz lo siguiente:

Crea un feed de Amazon Data Firehose y copia la URL del extremo y la clave secreta.
Crea una clave de API para autenticarte en Google SecOps. También puedes reutilizar tu clave de API existente para autenticarte en Google SecOps.
Especifica la URL del extremo en Amazon Data Firehose.

Crea un feed de Amazon Data Firehose

En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Amazon Data Firehose.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
Haz clic en Siguiente.
Opcional: Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Necesitas esta URL de extremo cuando especificas la configuración de destino para tu flujo de entrega en Amazon Data Firehose.
Opcional: Haz clic en el botón de activación Feed habilitado para inhabilitar el feed. El feed está habilitado de forma predeterminada.
Haz clic en Listo.

Crea una clave de API para el feed de Amazon Data Firehose

Para crear una clave de API para el feed de Amazon Data Firehose, haz lo siguiente: 1. Ve a la página Credenciales de la consola de Google Cloud . 1. Haz clic en Crear credenciales y selecciona Clave de API. 1. Restringe el acceso a la API de Chronicle con la clave de API.

Especifica la URL del extremo

En Amazon Data Firehose, especifica el extremo HTTPS y la clave de acceso de la siguiente manera:

Agrega la clave de API a la URL del extremo del feed y especifica esta URL como la URL del extremo HTTP con el siguiente formato:
```
  ENDPOINT_URL?key=API_KEY
```
Reemplaza lo siguiente:
- ENDPOINT_URL: Es la URL del extremo del feed.
- API_KEY: Es la clave de API para autenticarse en Google SecOps.
Para la clave de acceso, especifica la clave secreta que obtuviste cuando creaste el feed de Amazon Data Firehose.

Configura un feed de webhook HTTPS

Para configurar un feed de webhook HTTPS, haz lo siguiente:

Crea un feed de webhook HTTPS y copia la URL del extremo y la clave secreta.
Crea una clave de API que se especifique con la URL del extremo. También puedes reutilizar tu clave de API existente para autenticarte en Google SecOps.
Especifica la URL del extremo en tu aplicación.

Requisitos previos

Asegúrate de que se haya configurado un Google Cloud proyecto para Google SecOps y que la API de Chronicle esté habilitada para el proyecto.
Vincula una instancia de Google SecOps a los servicios de Google Cloud .

Nota: Los lotes de datos enviados a través de feeds de webhook pueden experimentar retrasos en la transferencia si los límites de tamaño de la solicitud o de QPS son demasiado bajos. Cuando se llama al extremo de envío HTTPS, el tamaño máximo de la solicitud es de 4 MB y el QPS máximo es de 15 000.

Crea un feed de webhook HTTPS

En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Webhook.
Selecciona el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
Haz clic en Siguiente.
Opcional: Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
Opcional: Haz clic en el botón de activación Feed habilitado para inhabilitar el feed. El feed está habilitado de forma predeterminada.
Haz clic en Listo.

Crea una clave de API para el feed del webhook

Ve a la página Credenciales de la consola de Google Cloud .
Haz clic en Crear credenciales y selecciona Clave de API.
Restringe el acceso a la API de Chronicle con la clave de API.

Especifica la URL del extremo

En tu aplicación cliente, especifica el extremo HTTPS, que está disponible en el feed de webhook.
Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

Te recomendamos que especifiques la clave de API como un encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de búsqueda en el siguiente formato:
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Reemplaza lo siguiente:
- ENDPOINT_URL: Es la URL del extremo del feed.
- API_KEY: Es la clave de API para autenticarse en Google SecOps.
- SECRET: Es la clave secreta que generaste para autenticar el feed.

Otorga acceso a la cuenta de servicio de Google SecOps

En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

Ir a Buckets
Otorga acceso a la cuenta de servicio a los objetos relevantes de Cloud Storage.
- Para otorgar permiso de lectura a un archivo específico, completa los siguientes pasos:
  1. Selecciona el archivo y haz clic en Editar acceso.
  2. Haz clic en Agregar principal.
  3. En el campo Principales nuevas, ingresa el nombre de la cuenta de servicio de Google SecOps.
  4. Asigna un rol que contenga el permiso de lectura a la cuenta de servicio de Google SecOps. Por ejemplo, Visualizador de objetos de Storage (roles/storage.objectViewer). Esto solo se puede hacer si no habilitaste el acceso uniforme a nivel del bucket.
  5. Haz clic en Guardar.
- Para otorgar permiso de lectura a varios archivos, otorga acceso a nivel del bucket de la siguiente manera:
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE":
    1. Agrega la cuenta de servicio de Google SecOps como principal a tu bucket de almacenamiento y otórgale el rol de IAM Visualizador de objetos de almacenamiento (roles/storage.objectViewer).
    2. Si configuras el feed para que borre los archivos fuente, debes agregar la cuenta de servicio de Google SecOps como principal en tu bucket y otorgarle el rol de IAM de Administrador de objetos de almacenamiento (roles/storage.objectAdmin).
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE_V2":
    1. Otorga uno de los siguientes roles:
      - Storage Object Viewer (roles/storage.objectViewer) si la transferencia se realiza en otro bucket de Cloud Storage.
      - Storage Object Creator (roles/storage.objectCreator) si la transferencia es a un sistema de archivos.
    2. Otorga uno de los siguientes roles:
      - Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) si se requiere permiso para borrar objetos.
      - Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) si no se requiere permiso para borrar objetos.
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN":
    1. Otorga uno de los siguientes roles:
      - Storage Object Viewer (roles/storage.objectViewer) si la transferencia se realiza en otro bucket de Cloud Storage.
      - Storage Object Creator (roles/storage.objectCreator) si la transferencia es a un sistema de archivos.
    2. Otorga uno de los siguientes roles:
      - Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) si se requiere permiso para borrar objetos.
      - Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) si no se requiere permiso para borrar objetos.

Configurar los Controles del servicio de VPC

Si los Controles del servicio de VPC están habilitados, se requiere una regla de entrada para proporcionar acceso al bucket de Cloud Storage.

Los siguientes métodos de Cloud Storage deben permitirse en la regla de entrada:

google.storage.objects.list: Es obligatorio para un feed de un solo archivo.
google.storage.objects.get: Se requiere para los feeds que necesitan acceso a directorios o subdirectorios.
google.storage.objects.delete: Es obligatorio para los feeds que requieren la eliminación del archivo fuente.

Ejemplo de regla de entrada

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Estado del feed

Puedes supervisar el estado del feed en la página inicial Feeds, en la que los feeds pueden tener los siguientes estados:

Activo: El feed está configurado y listo para transferir datos a tu cuenta de Google SecOps.
InProgress: Google SecOps intenta extraer datos del tercero configurado.
Completado: Este feed recuperó los datos correctamente.
Archivado: Feed inhabilitado.
Fallida: El feed no puede recuperar datos correctamente. Es probable que se deba a un problema de configuración. Haz clic en la pregunta para mostrar el error de configuración. Una vez que hayas corregido el error y vuelto a enviar el feed, regresa a la página Feeds para determinar si el feed ahora funciona.

Nota: La columna Última vez que se realizó correctamente de la página Feeds muestra la última vez que ese feed recuperó datos correctamente. En el caso de un feed nuevo, este campo está en blanco. Los feeds de envío, como Webhook y Google Cloud pubsub, no propagan esta columna. Estos feeds de envío no tienen una programación, lo que significa que los datos llegan cuando se envían.

Edita feeds

En la página Feeds, puedes editar un feed existente de la siguiente manera:

Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna de la derecha.
Haz clic en Editar feed. Ahora puedes modificar los parámetros de entrada del feed y volver a enviarlo a Google SecOps, que intentará usar el feed actualizado.

Nota: Los feeds existentes muestran [Not Configured] como nombre de feed en la página Feeds. Edita el feed para agregarle un nombre.

Habilita e inhabilita feeds

En la columna Estado, los feeds habilitados se etiquetan como Activo, En curso, Completado o Falló. Los campos inhabilitados se etiquetan como Archivados. Para obtener una descripción, consulta el estado del feed.

En la página Feeds, puedes habilitar o inhabilitar cualquiera de los feeds existentes:

Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna de la derecha.
Opcional: Haz clic en el botón de activación Feed habilitado para inhabilitar el feed.
Opcional: Haz clic en el botón de activación Inhabilitar feed para inhabilitar el feed. El feed ahora está etiquetado como Archivado.

Nota: Cuando inhabilitas un feed, se impide que se agreguen datos nuevos a la cola de transferencia. Las transferencias existentes (activas o limitadas) continúan hasta que finalizan. Para detener la transferencia de datos de inmediato, borra el feed.

Borra feeds

En la página Feeds, también puedes borrar un feed existente:

Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna de la derecha.
Haz clic en Borrar feed. Se abrirá la ventana DELETE FEED. Para borrar el feed de forma permanente, haz clic en Sí, bórralo.

Nota: Cuando borras un feed, no se incorporan datos nuevos. Es posible que ya haya datos en la cola que aún se procesarán.

Controla la tasa de transferencia

Cuando la tasa de transferencia de datos de un arrendatario alcanza un umbral determinado, Google Security Operations restringe la tasa de transferencia de los feeds de datos nuevos para evitar que una fuente con una tasa de transferencia alta afecte la tasa de transferencia de otra fuente de datos. En este caso, hay una demora, pero no se pierden datos. El volumen de transferencia y el historial de uso del arrendatario determinan el umbral.

Para solicitar un aumento del límite de frecuencia, comunícate con Atención al cliente de Cloud.

Soluciona problemas

En la página Feeds, puedes ver detalles como el tipo de fuente, el tipo de registro, el ID del feed y el estado de los feeds existentes, de la siguiente manera:

Mantén el puntero sobre un feed existente y haz clic en more_vert en la columna de la derecha.
Haz clic en Ver feed. Aparecerá un diálogo que muestra los detalles del feed. En el caso de un feed fallido, puedes encontrar los detalles del error en Detalles > Estado.

En el caso de un feed fallido, los detalles incluyen la causa del error y los pasos para corregirlo. En la siguiente tabla, se describen los mensajes de error que podrías encontrar cuando trabajas con feeds de datos:

Código de error	Causa	Solución de problemas
`ACCESS_DENIED`	La cuenta de autenticación proporcionada en la configuración del feed no tiene los permisos necesarios.	Verifica que la cuenta de autenticación proporcionada en la configuración del feed tenga los permisos necesarios. Consulta la documentación de los feeds para conocer los permisos necesarios. Para obtener información sobre los permisos, consulta [Configuración por tipo de fuente](/chronicle/docs/reference/feed-management-api#source-types).
`ACCESS_TOO_FREQUENT`	El feed falló porque hubo demasiados intentos de acceder a la fuente.	Comunícate con el equipo de asistencia de Google SecOps.
`CONNECTION_DROPPED`	Se estableció una conexión con la fuente, pero se cerró antes de que se completara el feed.	Este error es transitorio y la aplicación volverá a intentar la solicitud. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`CONNECTION_FAILED`	La aplicación no se puede conectar a la dirección IP y al puerto de origen.	Verifica lo siguiente: La fuente está disponible. Un firewall no está bloqueando la conexión. La dirección IP asociada al servidor es correcta. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`DNS_ERROR`	No se puede resolver el nombre de host de origen.	Es posible que el nombre de host del servidor esté escrito de forma incorrecta. Verifica la URL y la ortografía.
`FILE_FAILED`	Se estableció una conexión con la fuente, pero hubo un problema con el archivo o el recurso.	Verifica lo siguiente: El archivo no está dañado. Los permisos a nivel del archivo son correctos. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`FILE_NOT_FOUND`	Se estableció una conexión con la fuente, pero no se puede encontrar el archivo o el recurso.	Verifica lo siguiente: El archivo existe en la fuente. Los usuarios adecuados tienen acceso al archivo. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`GATEWAY_ERROR`	La API devolvió un error de puerta de enlace a la llamada realizada por Google SecOps.	Verifica los detalles de la fuente del feed. La aplicación volverá a intentar enviar la solicitud.
`INTERNAL_ERROR`	No se pueden transferir datos debido a un error interno.	Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`INVALID_ARGUMENT`	Se estableció una conexión con la fuente, pero el feed falló debido a argumentos no válidos.	Verifica la configuración del feed. Consulta la documentación sobre los feeds para obtener más información sobre cómo configurarlos. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`INVALID_FEED_CONFIG`	La configuración del feed contiene valores no válidos.	Revisa la configuración del feed para detectar parámetros incorrectos. Consulta la documentación de los feeds para conocer la sintaxis correcta.
`INVALID_REMOTE_RESPONSE`	Se estableció una conexión con la fuente, pero la respuesta fue incorrecta.	Verifica la configuración del feed. Obtén más información para configurar feeds. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`LOGIN_FAILED`	Se estableció una conexión con la fuente, pero las credenciales eran incorrectas o no estaban presentes.	Vuelve a ingresar las credenciales de la fuente para confirmar que sean correctas.
`NO_RESPONSE`	Se estableció una conexión con la fuente, pero esta no respondió.	Asegúrate de que la fuente pueda admitir solicitudes de SecOps de Google. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`PERMISSION_DENIED`	Se estableció una conexión con la fuente, pero hubo un problema con la autorización.	Verifica que se hayan agregado los accesos y permisos necesarios.
`REMOTE_SERVER_ERROR`	Se estableció una conexión con la fuente, pero esta no respondió con datos.	Asegúrate de que la fuente esté disponible y responda con datos. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`REMOTE_SERVER_REPORTED_BAD_REQUEST`	Se estableció una conexión con la fuente, pero esta rechazó la solicitud.	Verifica la configuración del feed. Consulta la documentación sobre los feeds para obtener más detalles. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`SOCKET_READ_TIMEOUT`	Se estableció una conexión con la fuente, pero se agotó el tiempo de espera de la conexión antes de que se completara la transferencia de datos.	Este error es transitorio y la aplicación volverá a intentar la solicitud. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`TOO_MANY_ERRORS`	Se agotó el tiempo de espera del feed porque se encontraron varios errores en la fuente.	Comunícate con el equipo de asistencia de Google SecOps.
`TRANSIENT_INTERNAL_ERROR`	Se produjo un error interno temporal en el feed.	Este error es transitorio y la aplicación volverá a intentar la solicitud. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`UNSAFE_CONNECTION`	La aplicación no pudo establecer una conexión porque la dirección IP estaba restringida.	Este error es transitorio, y el equipo de SecOps de Google volverá a intentar la solicitud. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`HTTP_400`	El feed falló debido a una solicitud no válida.	Verifica la configuración del feed. Obtén más información para configurar feeds. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`HTTP_403`	Se estableció una conexión con la fuente, pero hubo un problema con la autorización.	Verifica que se hayan agregado los accesos y permisos necesarios.
`HTTP_404`	Se estableció una conexión con la fuente, pero no se puede encontrar el archivo o el recurso.	Verifica lo siguiente: El archivo existe en la fuente. Los usuarios adecuados tienen acceso al archivo. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`HTTP_429`	Se agotó el tiempo de espera del feed porque hubo demasiados intentos para acceder a la fuente.	Comunícate con el equipo de asistencia de Google SecOps.
`HTTP_500`	Se estableció una conexión con la fuente, pero esta no respondió con datos.	Asegúrate de que la fuente esté disponible y responda con datos. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`HTTP_502`	El feed detectó un error de puerta de enlace.	Este error es transitorio y la aplicación volverá a intentar la solicitud. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.
`HTTP_504`	Google SecOps no puede conectarse a la dirección IP y al puerto de origen.	Este error es transitorio y la aplicación volverá a intentar la solicitud. Verifica lo siguiente: La fuente está disponible. Un firewall no está bloqueando la conexión. La dirección IP asociada al servidor es correcta. Si el problema persiste, comunícate con el equipo de asistencia de SecOps de Google.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.