Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de errores de Security Command Center

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo exportar y transferir registros de errores de Security Command Center a Google Security Operations con Cloud Storage. El analizador transforma los registros sin procesar con formato JSON en un modelo de datos unificado (UDM). Extrae los campos pertinentes del registro sin procesar, realiza la limpieza y la normalización de los datos, y estructura el resultado según el esquema de UDM para un análisis de seguridad coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
Instancia de Google SecOps.
Acceso privilegiado a Security Command Center y Cloud Logging

Cree un bucket de Cloud Storage

Accede a la consola deGoogle Cloud .
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
1. En la sección Primeros pasos, haz lo siguiente:
  1. Ingresa un nombre único que cumpla con los requisitos de nombre del bucket; por ejemplo, gcp-scc-error-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket existente.
  3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
  4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
  2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    
    Nota: Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
  3. Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público se bloquea.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.

Configura el registro de Security Command Center

Accede a la consola deGoogle Cloud .
Ve a la página Security Command Center.

Ir a Security Command Center
Selecciona tu organización.
Haz clic en Configuración.
Haz clic en la pestaña Exportaciones continuas.
En Nombre de la exportación, haz clic en Exportación de Logging.
En Receptores, activa Registrar resultados en Logging.
En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.
Haz clic en Guardar.

Configura la exportación de registros de errores de Security Command Center

Accede a la consola deGoogle Cloud .
Ve a Logging > Enrutador de registros.
Haz clic en Crear receptor.
Proporciona los siguientes parámetros de configuración:
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo, scc-error-logs-sink.
- Destino del receptor: Selecciona Cloud Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-scc-error-logs.
- Filtro de registro:
```
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ferror_logs"
 resource.type="security_command_center_error"
```
- Set Export Options: Incluye todas las entradas de registro.
Haz clic en Crear.

Configura los permisos de Cloud Storage

Ve a IAM y administración > IAM.
Busca la cuenta de servicio de Cloud Logging.
Otorga el rol roles/storage.admin en el bucket.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración de SIEM > Feeds
Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración del SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de errores de Security Command Center.
Selecciona Google Cloud Storage como el Tipo de fuente.
Selecciona Error de Security Command Center como el Tipo de registro.
Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-error-logs.
- URI Is A: Selecciona Directory which includes subdirectories.
- Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-error-logs.
URI Is A: Selecciona Directory which includes subdirectories.
Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

Nombre del feed: Es un valor completado previamente que identifica el feed.
Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
access.principalEmail	about.user.email_addresses	Valor tomado del campo `access.principalEmail`.
category	metadata.product_event_type	Valor tomado del campo `category` o `findings.category`, según el formato del registro.
contacts.security.contacts.email	security_result.about.user.email_addresses	Valor tomado del campo `contacts.security.contacts.email`. El rol se establece en `Security`.
contacts.technical.contacts.email	security_result.about.user.email_addresses	Valor tomado del campo `contacts.technical.contacts.email`. El rol se establece en `Technical`.
createTime	security_result.detection_fields.value	Valor tomado del campo `createTime` o `findings.createTime`, según el formato del registro. La clave se establece en `createTime`.
descripción	security_result.description	Valor tomado del campo `description` o `findings.description`, según el formato del registro.
eventTime	metadata.event_timestamp	Valor tomado del campo `eventTime` o `findings.eventTime`, según el formato del registro, y convertido en una marca de tiempo.
externalUri	about.url	Valor tomado del campo `externalUri` o `findings.externalUri`, según el formato del registro.
findingClass	security_result.category_details	Valor tomado del campo `findingClass` o `findings.findingClass`, según el formato del registro.
findingProviderId	target.resource.attribute.labels.value	Valor tomado del campo `findingProviderId` o `findings.findingProviderId`, según el formato del registro. La clave se establece en `finding_provider_id`.
mudo/muda/callado/callada	security_result.detection_fields.value	Valor tomado del campo `mute` o `findings.mute`, según el formato del registro. La clave se establece en `mute`.
nextSteps	security_result.outcomes.value	Valor tomado del campo `nextSteps` o `findings.nextSteps`, según el formato del registro. La clave se establece en `nextSteps`.
resourceName	target.resource.name	Valor tomado del campo `resourceName`, `findings.resourceName`, `resource_name` o `findings.resource_name`, según el formato del registro.
securityMarks.name	security_result.detection_fields.value	Valor tomado del campo `securityMarks.name` o `findings.securityMarks.name`, según el formato del registro. La clave se establece en `securityMarks_name`.
gravedad,	security_result.severity	Valor que se toma del campo `severity` o `findings.severity`, según el formato de registro, y se asigna al nivel de gravedad correspondiente del UDM.
sourceDisplayName	target.resource.attribute.labels.value	Valor tomado del campo `sourceDisplayName` o `findings.sourceDisplayName`, según el formato del registro. La clave se establece en `source_display_name`.
sourceProperties.ReactivationCount	target.resource.attribute.labels.value	Valor tomado del campo `sourceProperties.ReactivationCount` o `findings.sourceProperties.ReactivationCount`, según el formato del registro. La clave se establece en `sourceProperties_ReactivationCount`.
state	security_result.detection_fields.value	Valor tomado del campo `state` o `findings.state`, según el formato del registro. La clave se establece en `state`.
	metadata.event_type	Se establece en `GENERIC_EVENT` como valor predeterminado.
	metadata.log_type	Valor codificado `GCP_SECURITYCENTER_ERROR`.
	metadata.description	Valor codificado `Security Command Center`.
	metadata.product_name	Valor codificado `Security Command Center`.
	metadata.vendor_name	Valor codificado `Google`.
	target.resource.attribute.labels.key	Valor codificado `finding_id`.
	target.resource.attribute.labels.value	Se extrae del campo `name` o `findings.name` y captura la última parte después del último carácter `/`.
	target.resource.product_object_id	Se extrae del campo `parent` o `findings.parent`, y captura el valor después del último carácter `/`.
	target.resource.ancestors.name	Valor tomado del campo `parent` o `findings.parent`, según el formato del registro.
	target.resource_ancestors.name	Se extrae del campo `resourceName` o `findings.resourceName`, y captura el valor después del prefijo `//cloudresourcemanager.googleapis.com/projects/`.
	target.resource_ancestors.resource_type	Valor codificado `CLOUD_PROJECT`.
	target.resource.attribute.labels.key	Valor codificado `source_id`.
	target.resource.attribute.labels.value	Se extrae del campo `parent` o `findings.parent`, y captura el valor después del segundo carácter `/`.
	security_result.alert_state	Se asigna según el campo `state` o `findings.state`. Si el estado es `ACTIVE`, alert_state se establece en `ALERTING`; de lo contrario, se establece en `NOT_ALERTING`.
	about.user.email_addresses	Valor tomado del campo `iamBindings.member`.
	about.user.attribute.roles.name	Valor codificado `Security`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.