Recopila registros de Google Cloud IoT
En esta guía, se explica cómo exportar registros de Google Cloud IoT a Google Security Operations con Cloud Storage. El analizador extrae campos de los registros con formato JSON y, luego, los asigna a los campos correspondientes en el esquema del UDM de Google SecOps, lo que, en última instancia, transforma los datos de registro sin procesar en un formato estructurado adecuado para el análisis de seguridad.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps.
- El IoT está configurado y activo en tu entorno de Google Cloud .
- Acceso con privilegios a Google Cloud.
Crea un bucket de Google Cloud Storage.
- Accede a la consola deGoogle Cloud .
Ve a la página Buckets de Cloud Storage.
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
En la sección Primeros pasos, haz lo siguiente:
- Ingresa un nombre único que cumpla con los requisitos de nombres de bucket, por ejemplo, cloudiot-logs.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
- Selecciona un tipo de ubicación
Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
- Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.
Configura la exportación de registros en Google Cloud IoT
- Accede a la cuenta de Google Cloud con tu cuenta con privilegios.
- Busca y selecciona Logging en la barra de búsqueda.
- En el Explorador de registros, filtra los registros eligiendo Cloud IoT Core y haz clic en Aplicar.
- Haz clic en Más acciones.
- Haz clic en Crear receptor.
- Proporciona los siguientes parámetros de configuración:
- Detalles del receptor: Ingresa un nombre y una descripción.
- Haz clic en Siguiente.
- Destino del receptor: Selecciona Bucket de Cloud Storage.
- Bucket de Cloud Storage: Selecciona el bucket que creaste antes o crea uno nuevo.
- Haz clic en Siguiente.
- Elige registros para incluirlos en el receptor: Se propaga un registro predeterminado cuando seleccionas una opción en el bucket de Cloud Storage.
- Haz clic en Siguiente.
- Opcional: Elige registros para filtrar fuera del receptor: Selecciona los registros que no deseas que se envíen al receptor.
Haz clic en Crear receptor.
En GCP Console, ve a Logging > Enrutador de registros.
Haz clic en Crear receptor.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds en Configuración del SIEM > Feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Cloud IoT de GCP.
- Selecciona Google Cloud Storage como el Tipo de fuente.
- Selecciona GCP Cloud IoT como el Tipo de registro.
- Haz clic en Obtener cuenta de servicio como la Cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento:URL del bucket de almacenamiento en formato
gs://my-bucket/<value>Google Cloud - URI Is A: Selecciona Directory which includes subdirectories.
Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
- URI del bucket de almacenamiento:URL del bucket de almacenamiento en formato
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- URI del bucket de almacenamiento:URL del bucket de almacenamiento en formato
gs://my-bucket/<value>Google Cloud - URI Is A: Selecciona Directory which includes subdirectories.
- Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| insertId | metadata.product_log_id | Se asigna directamente desde el campo insertId. |
| jsonPayload.eventType | metadata.product_event_type | Se asigna directamente desde el campo jsonPayload.eventType. |
| jsonPayload.protocol | network.application_protocol | Se asigna directamente desde el campo jsonPayload.protocol. |
| jsonPayload.serviceName | target.application | Se asigna directamente desde el campo jsonPayload.serviceName. |
| jsonPayload.status.description | metadata.description | Se asigna directamente desde el campo jsonPayload.status.description. |
| jsonPayload.status.message | security_result.description | Se asigna directamente desde el campo jsonPayload.status.message. |
| labels.device_id | principal.asset_id | El valor se establece en Device ID: concatenado con el valor del campo labels.device_id. |
| receiveTimestamp | metadata.event_timestamp | Se analiza a partir del campo receiveTimestamp y se usa para completar events.timestamp y metadata.event_timestamp. |
| resource.labels.device_num_id | target.resource.product_object_id | Se asigna directamente desde el campo resource.labels.device_num_id. |
| resource.labels.location | target.location.name | Se asigna directamente desde el campo resource.labels.location. |
| resource.labels.project_id | target.resource.name | Se asigna directamente desde el campo resource.labels.project_id. |
| resource.type | target.resource.resource_subtype | Se asigna directamente desde el campo resource.type. |
| gravedad, | security_result.severity | Se asigna desde el campo severity según la siguiente lógica:: Si severity es DEFAULT, DEBUG, INFO o NOTICE, entonces security_result.severity se establece en INFORMATIONAL.: Si severity es WARNING o ERROR, security_result.severity se establece en MEDIUM.: Si severity es CRITICAL, ALERT o EMERGENCY, security_result.severity se establece en HIGH. |
| N/A | metadata.log_type | Se codificó como GCP_CLOUDIOT. |
| N/A | metadata.vendor_name | Se codificó como Google Cloud Platform. |
| N/A | metadata.event_type | Se codificó como GENERIC_EVENT. |
| N/A | metadata.product_name | Se codificó como GCP_CLOUDIOT. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.