Ingerir dados do Google Cloud para o Google Security Operations

Esta página mostra como ativar e desativar a ingestão de dados do Google Cloud nas Operações de segurança do Google. As Operações de segurança do Google permitem armazenar, pesquisar e examinar as informações de segurança agregadas da sua empresa por meses ou mais, de acordo com o período de armazenamento de dados.

Visão geral

Há duas opções para enviar dados do Google Cloud para as Operações de segurança do Google. A escolha da opção correta depende do tipo de registro.

Opção 1: ingestão direta

Um filtro especial do Cloud Logging pode ser configurado no Google Cloud para enviar tipos de registros específicos ao Google Security Operations em tempo real. Esses registros são gerados pelos serviços do Google Cloud.

Os tipos de registro disponíveis incluem:

• Registros de auditoria do Cloud
• Cloud NAT
• Cloud DNS
• Firewall de Próxima Geração do Cloud
• Sistema de detecção de intrusões do Cloud
• Cloud Load Balancing
• Cloud SQL
• Registros de eventos do Windows
• Syslog do Linux
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Daemon de auditoria (auditd)
• Apigee
• reCAPTCHA Enterprise
• Registros do Cloud Run (GCP_RUN)

Para coletar registros de aplicativos do Compute Engine ou do Google Kubernetes Engine (GKE), como Apache, Nginx ou IIS, use a Opção 2. Além disso, abra um tíquete de suporte com as Operações de segurança do Google para dar feedback e considerar o suporte usando a ingestão direta (opção 1).

Para filtros de registro específicos e mais detalhes de ingestão, consulte Exportar registros do Google Cloud para o Google Security Operations.

Também é possível enviar metadados de recursos do Google Cloud usados para o enriquecimento de contexto. Consulte Exportar metadados do recurso do Google Cloud para Google Security Operations para mais detalhes.

Opção 2: Google Cloud Storage

O Cloud Logging pode encaminhar registros ao Cloud Storage para que sejam buscados pelas Operações de segurança do Google de maneira programada.

Para saber como configurar o Cloud Storage para operações de segurança do Google, consulte Gerenciamento de feeds: Cloud Storage.

Antes de começar

Antes de ingerir dados do Google Cloud em uma instância do Google Security Operations, você precisa concluir as seguintes etapas:

1. Conceda os seguintes papéis do IAM necessários para acessar a seção Operações de segurança do Google:

   • Admin de serviço do Chronicle (roles/chroniclesm.admin): papel do IAM para a execução de todas as atividades.
   • Chronicle Service Viewer (roles/chroniclesm.viewer): papel do IAM para ler apenas o estado de ingestão.
   • Editor administrador da Central de segurança (roles/securitycenter.adminEditor): necessário para ativar a ingestão dos metadados dos recursos do Cloud.

2. Se você planeja ativar os metadados dos recursos do Cloud, também precisa ativar os níveis Standard, Premium ou Enterprise do Security Command Center. Consulte Visão geral da ativação no nível da organização para mais informações.

Como conceder papéis do IAM

É possível conceder os papéis do IAM necessários usando o console do Google Cloud ou a CLI gcloud.

Para conceder papéis do IAM usando o Console do Google Cloud, conclua as seguintes etapas:

1. Faça login na organização do Google Cloud à qual você quer se conectar e navegue até a tela do IAM usando Produtos > IAM e Administrador > IAM.

2. Na tela IAM, selecione o usuário e clique em Editar membro.

3. Na tela "Editar permissões", clique em Adicionar outro papel e pesquise "Google Security Operations" para encontrar os papéis do IAM.

4. Depois de atribuir os papéis, clique em Salvar.

Para conceder papéis do IAM usando a Google Cloud CLI, conclua as etapas a seguir:

1. Verifique se você fez login na organização correta. Verifique isso executando o comando gcloud init.

2. Para conceder o papel de IAM de administrador do serviço do Chronicle usando gcloud, execute o seguinte comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Substitua:

   • ORGANIZATION_ID: o ID numérico da organização.
   • USER_EMAIL: o endereço de e-mail do usuário.

3. Para conceder o papel do IAM de Leitor do serviço Chronicle usando gcloud, execute o seguinte comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Para conceder o papel de Editor administrador da Central de segurança usando gcloud, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

Ativar a ingestão direta do Google Cloud

As etapas para permitir a ingestão direta do Google Cloud são diferentes da propriedade do projeto a que sua instância do Google Security Operations está vinculada.

• Se ele estiver vinculado a um projeto que você possui e gerencia, siga as etapas em Configurar transferência quando o projeto for de propriedade do cliente. Essa abordagem permite configurar a ingestão de dados de mais de uma organização do Google Cloud.

• Se ele estiver vinculado a um projeto do Google Cloud e gerenciado por ele, Siga as etapas em Configurar a ingestão quando o projeto for de propriedade do Google Cloud.

Depois de configurar a ingestão direta, seus dados do Google Cloud são enviados para as Operações de segurança do Google. Você pode usar os recursos de análise do Google Security Operations para investigar problemas relacionados à segurança.

Configurar a transferência quando o projeto for de propriedade do cliente

Siga estas etapas se você for proprietário do projeto do Google Cloud.

É possível configurar a ingestão direta de várias organizações usando o mesmo nível de configuração do Terraform. Siga as etapas abaixo para criar uma nova configuração e editar uma existente.

Quando você migra uma instância das Operações de segurança do Google para ela ser vinculada a um dos seus projetos, Se a ingestão direta tiver sido configurada antes da migração, a configuração dela será são migrados também.

1. Acesse a página Google SecOps > Configurações de ingestão no console do Google Cloud.
   Acessar a página do Google SecOps
2. Selecione o projeto que está vinculado à sua instância do Google Security Operations.

3. No menu Organização, selecione a organização da qual os registros serão que serão exportados. O menu exibe as organizações que você tem permissão para acessar. A lista pode incluir organizações que não estão vinculadas à instância do Google SecOps. Não é possível configurar uma organização que envie dados para uma instância diferente do Google SecOps.

   

4. Na seção Configuração de ingestão do Google Cloud, ative o botão Enviar dados para as Operações de segurança do Google para que os registros sejam enviados às Operações de segurança do Google.

5. Selecione uma ou mais das seguintes opções para definir o tipo de dados enviados ao Google Security Operations:

   • Google Cloud Logging: para mais informações sobre essa opção, consulte Exportar registros do Google Cloud.
   • Metadados do recurso do Cloud: para mais informações sobre essa opção, consulte Exportar metadados de recursos do Google Cloud.
   • Descobertas da Central de segurança Premium: para mais informações sobre essa opção, consulte Exportar descobertas Premium da Central de segurança.

6. Na seção Configurações do filtro de exportação do cliente, defina filtros de exportação que personalizem os dados do Cloud Logging exportados para as Operações de segurança do Google. Consulte Exportar registros do Google Cloud para saber os tipos de dados de registro que você exporta.

7. Para ingerir registros de outra organização para a mesma instância do Google Security Operations, selecione a organização no menu Organização e repita o processo para definir o tipo de dados que serão exportados e os filtros de exportação. Você verá várias organizações listadas no menu Organização.

8. Para exportar os dados do Google Cloud Data Loss Prevention para o Google Security Operations, consulte Exportar dados do Google Cloud Data Loss Prevention para as Operações de segurança do Google.

Configurar a ingestão quando um projeto é de propriedade do Google Cloud

Se o Google Cloud for o proprietário do projeto, faça o seguinte para configurar a ingestão direta da organização do Google Cloud para a instância do Google Security Operations:

1. Acesse o Google SecOps > Visão geral > Guia Ingestão no console do Google Cloud. Acesse a guia "Ingestão" do Google SecOps
2. Clique no botão Gerenciar configurações de processamento da organização.
3. Se a mensagem Página não visível para projetos aparecer, selecione uma organização e clique em Selecionar.
4. Insira seu código de acesso único no campo Código de acesso único das Operações de segurança do Google.
5. Marque a caixa Concordo com os Termos e Condições de Uso dos meus dados do Google Cloud pelo Google Security Operations.
6. Clique em Conectar o Google SecOps.
7. Acesse a guia Configurações globais de ingestão da organização.

8. Selecione o tipo de dados que serão enviados ativando uma ou mais das seguintes opções:

   • Google Cloud Logging: para mais informações sobre essa opção, consulte Exportar registros do Google Cloud.
   • Metadados de recursos do Cloud: para mais informações sobre essa opção, consulte Exportar metadados de recursos do Google Cloud.
   • Descobertas do Security Command Center Premium: para mais informações sobre essa opção, consulte Exportar descobertas do Security Command Center Premium.

9. Acesse a guia Exportar configurações do filtro.

10. Na seção Configurações de filtro de exportação do cliente, defina filtros de exportação que personalizam o Cloud Logging exportados para as Operações de segurança do Google. Consulte Exportar registros do Google Cloud. para os tipos de dados de registro exportados.

11. Para exportar os dados do Google Cloud Data Loss Prevention para o Google Security Operations, consulte Exportar dados do Google Cloud Data Loss Prevention para as Operações de segurança do Google.

Exportar registros do Google Cloud

Depois de ativar o Cloud Logging, é possível exportar os seguintes tipos de Dados do Google Cloud para sua instância do Google Security Operations, listados por tipo de registro e rótulo de ingestão do Google Security Operations:

• Registros de auditoria do Cloud(GCP_CLOUDAUDIT): inclui registros de atividade do administrador, evento do sistema, transparência no acesso e política negada.
  • log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro padrão)
  • log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro padrão)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")
• Registros do Cloud NAT(GCP_CLOUD_NAT):
  • log_id("compute.googleapis.com/nat_flows")
• Registros do Cloud DNS (GCP_DNS):
  • log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro padrão)
• Registros do firewall de última geração do Cloud(GCP_FIREWALL):
  • log_id("compute.googleapis.com/firewall")
• GCP_IDS:
  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")
• GCP_LOADBALANCING:
  • log_id("requests") Isso inclui registros do Google Cloud Armor e do Cloud Load Balancing
• GCP_CLOUDSQL:
  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")
• NIX_SYSTEM:
  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
• LINUX_SYSMON:
  • log_id("sysmon.raw")
• WINEVTLOG:
  • log_id("winevt.raw")
  • log_id("windows_event_log")
• BRO_JSON:
  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")
• KUBERNETES_NODE:
  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")
• AUDITD:
  • log_id("audit_log")
• GCP_APIGEE_X:
  • logName =~ "^projects/[\w\-]+/logs/apigee\.googleapis\.com[\w\-]*$"
• GCP_RECAPTCHA_ENTERPRISE:
  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")
• GCP_RUN:
  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")
• GCP_NGFW_ENTERPRISE:
  • log_id("networksecurity.googleapis.com/firewall_threat")

Para exportar registros do Google Cloud para as Operações de segurança do Google, defina o botão Ativar registros do Cloud como Ativado. Os tipos de registro do Google Cloud com suporte podem ser exportados para sua instância de Operações de segurança do Google.

Para conferir as práticas recomendadas sobre quais filtros de registro usar, consulte Análise de registros de segurança no Google Cloud.

Exportar configurações do filtro

Configurações de filtro de exportação personalizadas

Por padrão, os Registros de auditoria do Cloud (atividade do administrador e evento do sistema) e o Cloud DNS registros são enviados para sua instância de Operações de segurança do Google. No entanto, é possível personalizar o filtro de exportação para incluir ou excluir tipos específicos de registros. O filtro de exportação é baseado na linguagem de consulta do Google Logging.

Para definir um filtro personalizado para seus registros, conclua as etapas a seguir:

1. Para definir o filtro, crie um filtro personalizado para seus registros usando o linguagem de consulta do Logging. Consulte Linguagem de consulta do Logging para saber como definir esse tipo de filtro.

2. Navegue até a página do Google SecOps no console do Google Cloud e selecione um projeto.
   Acessar a página "Operações de segurança do Google"
   

3. Inicie a Análise de registros usando o link fornecido na guia Exportar configurações do filtro.

4. Copie a nova consulta para o campo Consulta e clique em Executar consulta para testar.

5. Copie a nova consulta na Análise de registros > Consulta e, em seguida, clique em Executar consulta para testá-la.

6. Verifique se os registros correspondentes exibidos na Análise de registros são exatamente o que você pretende exportar para as Operações de segurança do Google. Quando o filtro estiver pronto, copie-o para a seção Configurações de filtro de exportação personalizadas para as Operações de segurança do Google.

7. Volte para a seção Configurações do filtro de exportação personalizado na página do Google SecOps.

   Seção de configurações de filtro de exportação personalizada

8. Clique no ícone de edição do campo Filtro de exportação e cole o filtro no campo.

9. Clique no botão Salvar. O novo filtro personalizado funciona com todos os novos registros exportados para sua instância das Operações de segurança do Google.

10. Para redefinir o filtro de exportação para a versão padrão, clique em Redefinir para o padrão. Primeiro, salve uma cópia do filtro personalizado.

Ajustar os filtros dos Registros de auditoria do Cloud

Os registros de acesso a dados gravados pelos Registros de auditoria do Cloud podem produzir um grande volume de dados sem muito valor de detecção de ameaças. Se você optar por enviar esses registros para as Operações de segurança do Google, filtre os registros gerados por atividades de rotina.

O filtro de exportação a seguir captura registros de acesso a dados e exclui eventos de alto volume, como operações de leitura e lista do Cloud Storage e do Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select" )

Para mais informações sobre como ajustar os registros de acesso a dados gerados pelos Registros de auditoria do Cloud, consulte Gerenciar o volume de registros de auditoria de acesso a dados.

Exemplos de filtro de exportação

Os exemplos de filtro de exportação a seguir ilustram como incluir ou excluir determinados tipos de registros da exportação para sua instância do Google Security Operations.

Exemplo de filtro de exportação: incluir outros tipos de registro

O filtro de exportação a seguir exporta registros de transparência no acesso além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação: incluir outros registros de um projeto específico

O filtro de exportação a seguir exporta registros de transparência no acesso de um projeto específico, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: incluir outros registros de uma pasta específica

O filtro de exportação a seguir exporta registros de transparência no acesso de uma pasta específica, além dos registros padrão:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: excluir registros de um projeto específico

O filtro de exportação a seguir exporta os registros padrão de toda a organização do Google Cloud, exceto um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exportar metadados de recursos do Google Cloud

É possível exportar os metadados dos recursos do Google Cloud do Inventário de recursos do Cloud para as operações de segurança do Google. Os metadados do recurso são extraídos do Inventário de recursos do Cloud e consistem em informações sobre seus ativos, recursos e identidades, incluindo o seguinte:

• Ambiente
• Local
• Zona
• Modelos de hardware
• Relações de controle de acesso entre recursos e identidades

Os seguintes tipos de metadados de recursos do Google Cloud serão exportados para sua instância do Google Security Operations:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Veja a seguir exemplos de metadados de recursos do Google Cloud:

• Nome do aplicativo — Google-iamSample/0.1
• Nome do projeto — projects/my-project

Para exportar metadados de recursos do Google Cloud para o Google Security Operations, ative a opção Metadados de recursos do Cloud.

Para saber mais sobre os analisadores de contexto, consulte analisadores de contexto do Google Security Operations.

Exportar descobertas do Security Command Center

É possível exportar as descobertas da Detecção de ameaças a eventos premium do Security Command Center e todas as outras descobertas para as Operações de segurança do Google.

Para mais informações sobre as descobertas do ETD, consulte Visão geral da detecção de ameaças a eventos.

Para exportar as descobertas do Security Command Center Premium para o Google Security Operations, ative a opção Descobertas premium do Security Command Center.

Exportar dados da Proteção de dados sensíveis para as Operações de segurança do Google

Para ingerir metadados do recurso de proteção de dados sensíveis (DLP_CONTEXT), faça o seguinte:

1. Ative a transferência de dados do Google Cloud concluindo a seção anterior deste documento.
2. Configurar a proteção de dados sensíveis para dados de perfil.
3. Definir a configuração da verificação para publicar perfis de dados às Operações de segurança do Google.

Consulte a documentação da Proteção de Dados Sensíveis para informações detalhadas sobre como criar perfis de dados para dados do BigQuery.

Desativar a ingestão de dados do Google Cloud

As etapas para desativar a ingestão direta de dados do Google Cloud variam de acordo com a configuração das Operações de segurança do Google. Escolha uma destas opções:

• Se a instância do Google Security Operations estiver vinculada a um projeto que você possui e gerencia, siga estas etapas:

  1. Selecione o projeto vinculado à sua instância do Google Security Operations.
  2. No console do Google Cloud, acesse a guia Ingestão em Google SecOps.
     Acessar a página do Google SecOps
  3. No menu Organização, selecione a organização da qual os registros serão exportados.
  4. Defina o botão Enviar dados para as Operações de segurança do Google como Desativado.
  5. Se você configurou a exportação de dados de várias organizações e quer desativar também, siga estas etapas para cada uma delas.

• Se sua instância do Google Security Operations estiver vinculada a um projeto do Google Cloud e gerencia, siga estas etapas:

  1. Acesse o Google SecOps > Ingestão no console do Google Cloud.
     Acessar a página do Google SecOps
  2. No recurso, selecione a organização vinculada às suas Operações de segurança do Google e da qual você está ingerindo dados.
  3. Marque a caixa Quero desconectar o Google Security Operations e parar de enviar registros do Google Cloud para o Google Security Operations.
  4. Clique em Desconectar o Google Security Operations.

Solução de problemas

• Se as relações entre recursos e identidades estiverem ausentes em seu instância do Google Security Operations, desative e reative a ingestão direta de dados de registro para as Operações de segurança do Google.
• Os metadados do recurso do Google Cloud são ingeridos periodicamente nas Operações de segurança do Google. Aguarde algumas horas para que as alterações fiquem visíveis na interface e nas APIs de Operações de segurança do Google.

A seguir

• Abra sua instância do Google Security Operations usando o URL específico do cliente fornecido pelo seu representante de Google Security Operations.
• Saiba mais sobre as Google Security Operations.