Recoger registros de Google Cloud IoT

Disponible en:

En esta guía se explica cómo exportar registros de IoT a Google Security Operations mediante Cloud Storage. Google Cloud El analizador extrae campos de los registros con formato JSON y, a continuación, asigna esos campos a los campos correspondientes del esquema UDM de Google SecOps. De esta forma, los datos de registro sin procesar se transforman en un formato estructurado adecuado para el análisis de seguridad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • El IoT está configurado y activo en tu entorno de Google Cloud .
  • Acceso privilegiado a Google Cloud.

Crear un segmento de Google Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, cloudiot-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros en Google Cloud IoT

  1. Inicia sesión en tu cuenta de Google Cloud con tu cuenta con privilegios.
  2. Busca y selecciona Registro en la barra de búsqueda.
  3. En el Explorador de registros, filtra los registros eligiendo Cloud IoT Core y haz clic en Aplicar.
  4. Haz clic en Más acciones.
  5. Haz clic en Crear sumidero.
  6. Proporcione las siguientes configuraciones:
    1. Detalles del receptor: introduce un nombre y una descripción.
    2. Haz clic en Siguiente.
    3. Destino del receptor: selecciona Segmento de Cloud Storage.
    4. Segmento de Cloud Storage: selecciona el segmento que has creado antes o crea uno nuevo.
    5. Haz clic en Siguiente.
    6. Seleccionar los registros que se incluirán en el sumidero: se rellena un registro predeterminado cuando se selecciona una opción en el segmento de Cloud Storage.
    7. Haz clic en Siguiente.
    8. Opcional: Seleccionar los registros que se excluirán del sumidero: selecciona los registros que no quieras que se incluyan en el sumidero.

  7. Haz clic en Crear sumidero.

  8. En la consola de GCP, ve a Logging > Enrutador de registros.

  9. Haz clic en Crear sumidero.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Feed name (Nombre del feed), introduce un nombre para el feed; por ejemplo, GCP Cloud IoT Logs (Registros de Cloud IoT de GCP).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Selecciona GCP Cloud IoT como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio en Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL de segmento de almacenamiento en formato gs://my-bucket/<value>/. Google Cloud

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
insertId metadata.product_log_id Se asigna directamente desde el campo insertId.
jsonPayload.eventType metadata.product_event_type Se asigna directamente desde el campo jsonPayload.eventType.
jsonPayload.protocol network.application_protocol Se asigna directamente desde el campo jsonPayload.protocol.
jsonPayload.serviceName target.application Se asigna directamente desde el campo jsonPayload.serviceName.
jsonPayload.status.description metadata.description Se asigna directamente desde el campo jsonPayload.status.description.
jsonPayload.status.message security_result.description Se asigna directamente desde el campo jsonPayload.status.message.
labels.device_id principal.asset_id El valor se asigna a Device ID: concatenado con el valor del campo labels.device_id.
receiveTimestamp metadata.event_timestamp Se analiza a partir del campo receiveTimestamp y se usa para rellenar los campos events.timestamp y metadata.event_timestamp.
resource.labels.device_num_id target.resource.product_object_id Se asigna directamente desde el campo resource.labels.device_num_id.
resource.labels.location target.location.name Se asigna directamente desde el campo resource.labels.location.
resource.labels.project_id target.resource.name Se asigna directamente desde el campo resource.labels.project_id.
resource.type target.resource.resource_subtype Se asigna directamente desde el campo resource.type.
gravedad security_result.severity Se asigna desde el campo severity según la siguiente lógica:
- Si severity es DEFAULT, DEBUG, INFO o NOTICE, security_result.severity se define como INFORMATIONAL.
: si severity es WARNING o ERROR, security_result.severity se define como MEDIUM.
: si severity es CRITICAL, ALERT o EMERGENCY, security_result.severity se define como HIGH.
N/A metadata.log_type Valor fijo establecido en el código fuente GCP_CLOUDIOT.
N/A metadata.vendor_name Valor fijo establecido en el código fuente Google Cloud Platform.
N/A metadata.event_type Valor fijo establecido en el código fuente GENERIC_EVENT.
N/A metadata.product_name Valor fijo establecido en el código fuente GCP_CLOUDIOT.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.