Recoger registros de Cloud Next Generation Firewall

Disponible en:

En este documento se explica cómo exportar e ingerir registros de Cloud NGFW en Google Security Operations mediante Google Cloud. El analizador extrae campos de los registros de firewall, los transforma y los asigna a UDM. Google Cloud Gestiona varios campos de registro, incluidos los detalles de la conexión, la información sobre amenazas, los detalles de las reglas y la información de la red. Además, realiza conversiones de tipos de datos, cambios de nombre y lógica condicional en función de los campos action y direction para rellenar el modelo UDM correctamente.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Cloud NGFW está activo y configurado en tu Google Cloud entorno.
  • Acceso privilegiado a Google Cloud y permisos adecuados para acceder a los registros de Cloud NGFW.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduzca un nombre único que cumpla los requisitos de los nombres de los contenedores. Por ejemplo, gcp-ngfw-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros de Cloud NGFW

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, NGFW-Export-Sink.
    • Destino del receptor: selecciona Google Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-ngfw-logs/.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/gcp-firewall"

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de Google Cloud NGFW Enterprise

  1. Haz clic en el paquete Plataforma de computación de Google Cloud.
  2. Busca el tipo de registro GCP NGFW Enterprise.
  3. Haz clic en Siguiente.

  4. Especifique los valores de los siguientes campos:

    • Tipo de fuente: Google Cloud Storage V2
    • URI del segmento de almacenamiento: Google Cloud URL del segmento de almacenamiento; por ejemplo, gs://gcp-ngfw-logs/. Esta URL debe terminar con una barra inclinada (/).

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

  5. Haz clic en Obtener una cuenta de servicio junto al campo Cuenta de servicio de Chronicle.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres de recursos: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  6. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
insertId metadata.product_log_id Se asigna directamente desde el campo insertId.
jsonPayload.action security_result.action_details Se asigna directamente desde el campo jsonPayload.action.
jsonPayload.connection.clientIp principal.asset.ip Se asigna directamente desde el campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientIp principal.ip Se asigna directamente desde el campo jsonPayload.connection.clientIp.
jsonPayload.connection.clientPort principal.port Se ha asignado directamente desde el campo jsonPayload.connection.clientPort y se ha convertido en un número entero.
jsonPayload.connection.protocol network.ip_protocol Mapeado de jsonPayload.connection.protocol. Si el valor es tcp, el campo de UDM se define como TCP. Se aplica una lógica similar a udp, icmp y igmp.
jsonPayload.connection.serverIp target.asset.ip Se asigna directamente desde el campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverIp target.ip Se asigna directamente desde el campo jsonPayload.connection.serverIp.
jsonPayload.connection.serverPort target.port Se ha asignado directamente desde el campo jsonPayload.connection.serverPort y se ha convertido en un número entero.
jsonPayload.interceptVpc.projectId security_result.rule_labels Asignado desde jsonPayload.interceptVpc.projectId con la clave rule_details_projectId.
jsonPayload.interceptVpc.vpc security_result.rule_labels Asignado desde jsonPayload.interceptVpc.vpc con la clave rule_details_vpc_network.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Asignado desde jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la clave rule_details_security_profile_group.
jsonPayload.securityProfileGroupDetails.securityProfileGroupId security_result.rule_labels Asignado desde jsonPayload.securityProfileGroupDetails.securityProfileGroupId con la clave rule_details_securityProfileGroupDetails_id.
jsonPayload.threatDetails.category security_result.rule_labels Asignado desde jsonPayload.threatDetails.category con la clave rule_details_category.
jsonPayload.threatDetails.direction security_result.rule_labels Asignado desde jsonPayload.threatDetails.direction con la clave rule_details_direction.
jsonPayload.threatDetails.id security_result.threat_id Se asigna directamente desde el campo jsonPayload.threatDetails.id.
jsonPayload.threatDetails.severity security_result.severity Mapeado de jsonPayload.threatDetails.severity. Si el valor es CRITICAL, el campo de UDM se define como CRITICAL. Se aplica una lógica similar a HIGH, MEDIUM, LOW y INFO.
jsonPayload.threatDetails.threat security_result.threat_name Se asigna directamente desde el campo jsonPayload.threatDetails.threat.
jsonPayload.threatDetails.type security_result.rule_labels Asignado desde jsonPayload.threatDetails.type con la clave rule_details_threat_type.
jsonPayload.threatDetails.uriOrFilename security_result.rule_labels Asignado desde jsonPayload.threatDetails.uriOrFilename con la clave rule_details_uriOrFilename.
logName metadata.product_event_type Se asigna directamente desde el campo logName.
metadata.collected_timestamp metadata.collected_timestamp Se asigna directamente desde el campo receiveTimestamp y se analiza con el formato de fecha especificado.
metadata.event_type metadata.event_type Se define como NETWORK_CONNECTION si están presentes principal_ip y target_ip. Se asigna el valor STATUS_UNCATEGORIZED si solo está presente principal_ip. De lo contrario, asigna el valor GENERIC_EVENT.
metadata.product_name metadata.product_name Valor fijo establecido en el código fuente GCP Firewall.
metadata.vendor_name metadata.vendor_name Valor fijo establecido en el código fuente Google Cloud Platform.
receiveTimestamp metadata.collected_timestamp Se asigna directamente desde el campo receiveTimestamp.
security_result.action security_result.action Derivado del campo jsonPayload.action. Se asigna a ALLOW, BLOCK o UNKNOWN_ACTION en función del valor de jsonPayload.action.
timestamp metadata.event_timestamp Se asigna directamente desde el campo timestamp.
timestamp timestamp Se asigna directamente desde el campo timestamp.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.