Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Cloud IoT
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Compatible con:

Google SecOps SIEM

En esta guía, se explica cómo exportar registros de Cloud IoT a Google Security Operations con Cloud Storage. El analizador extrae campos de los registros con formato JSON y, luego, los asigna a los campos correspondientes en el esquema de UDM de SecOps de Google. En última instancia, transforma los datos de registro sin procesar en un formato estructurado adecuado para el análisis de seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de que Cloud IoT esté configurado y activo en tu Google Cloud entorno.
Asegúrate de tener acceso con privilegios a Google Cloud.

Crea un bucket de Google Cloud Storage.

Accede a la consola de Google Cloud.
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:
1. En la sección Primeros pasos, haz lo siguiente:
  1. Ingresa un nombre único que cumpla con los requisitos de nombres de bucket, por ejemplo, cloudiot-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket existente.
  3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
  4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
  2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    
    Nota: Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
  3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público está bloqueada.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.

Configura la exportación de registros en Cloud IoT

Accede a la cuenta de Google Cloud con tu cuenta con privilegios.
Busca y selecciona Registro en la barra de búsqueda.
En el Explorador de registros, filtra los registros eligiendo Cloud IoT Core y haz clic en Aplicar.
Haz clic en Más acciones.
Haz clic en Crear receptor.
Proporciona la siguiente configuración:
1. Detalles del receptor: Ingresa un nombre y una descripción.
2. Haz clic en Siguiente.
3. Destino del receptor: Selecciona Bucket de Cloud Storage.
4. Bucket de Cloud Storage: Selecciona el bucket que creaste antes o crea uno nuevo.
5. Haz clic en Siguiente.
6. Elige los registros que deseas incluir en el receptor: Se propaga un registro predeterminado cuando seleccionas una opción en el bucket de Cloud Storage.
7. Haz clic en Siguiente.
8. Opcional: Elige registros para filtrar fuera del receptor: Selecciona los registros que no deseas enviar al receptor.
Haz clic en Crear receptor.
En GCP Console, ve a Registros > Enrutador de registros.
Haz clic en Crear receptor.

Configura un feed en Google SecOps para transferir registros de Cloud IoT

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de IoT de Cloud de GCP.
Selecciona Google Cloud Storage como el Tipo de fuente.
Selecciona GCP Cloud IoT como el Tipo de registro.
Haz clic en Obtener cuenta de servicio como la cuenta de servicio de Chronicle.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Google Cloud URL del bucket de almacenamiento en formato gs://my-bucket/<value>.
- URI Is A: Selecciona Directorio que incluye subdirectorios.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
insertId	metadata.product_log_id	Se asigna directamente desde el campo `insertId`.
jsonPayload.eventType	metadata.product_event_type	Se asigna directamente desde el campo `jsonPayload.eventType`.
jsonPayload.protocol	network.application_protocol	Se asigna directamente desde el campo `jsonPayload.protocol`.
jsonPayload.serviceName	target.application	Se asigna directamente desde el campo `jsonPayload.serviceName`.
jsonPayload.status.description	metadata.description	Se asigna directamente desde el campo `jsonPayload.status.description`.
jsonPayload.status.message	security_result.description	Se asigna directamente desde el campo `jsonPayload.status.message`.
labels.device_id	principal.asset_id	El valor se establece en `Device ID:` concatenado con el valor del campo `labels.device_id`.
receiveTimestamp	metadata.event_timestamp	Se analiza desde el campo `receiveTimestamp` y se usa para propagar `events.timestamp` y `metadata.event_timestamp`.
resource.labels.device_num_id	target.resource.product_object_id	Se asigna directamente desde el campo `resource.labels.device_num_id`.
resource.labels.location	target.location.name	Se asigna directamente desde el campo `resource.labels.location`.
resource.labels.project_id	target.resource.name	Se asigna directamente desde el campo `resource.labels.project_id`.
resource.type	target.resource.resource_subtype	Se asigna directamente desde el campo `resource.type`.
gravedad,	security_result.severity	Se asigna desde el campo `severity` según la siguiente lógica: : Si `severity` es `DEFAULT`, `DEBUG`, `INFO` o `NOTICE`, `security_result.severity` se establece en `INFORMATIONAL`. : Si `severity` es `WARNING` o `ERROR`, `security_result.severity` se establece en `MEDIUM`. : Si `severity` es `CRITICAL`, `ALERT` o `EMERGENCY`, `security_result.severity` se establece en `HIGH`.
N/A	metadata.log_type	Se codifica en `GCP_CLOUDIOT`.
N/A	metadata.vendor_name	Se codifica en `Google Cloud Platform`.
N/A	metadata.event_type	Se codifica en `GENERIC_EVENT`.
N/A	metadata.product_name	Se codifica en `GCP_CLOUDIOT`.

Cambios

2022-06-06

Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.