Recoger registros de Observation de Security Command Center

Disponible en:

En este documento se explica cómo exportar e ingerir registros de Observation de Security Command Center en Google Security Operations mediante Cloud Storage. El analizador transforma los datos JSON sin procesar en un modelo de datos unificado (UDM). Normaliza la estructura de datos, gestiona las posibles variaciones en la entrada, extrae y asigna los campos relevantes al esquema del UDM, y enriquece los datos con contexto y marcas adicionales para el análisis posterior.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduzca un nombre único que cumpla los requisitos de nombres de los segmentos. Por ejemplo, gcp-scc-observation-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar el registro de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Settings (Configuración).

  5. Haga clic en la pestaña Exportaciones continuas.

  6. En Nombre de exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Proyecto de registro, introduce o busca el proyecto en el que quieras registrar los resultados.

  9. Haz clic en Guardar.

Configurar la exportación de registros de Observation de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, scc-observation-logs-sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-scc-observation-logs/.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations"
resource.type="security_command_center_observation"
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings"
 resource.type="security_center_findings"

    • Definir opciones de exportación: incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de observaciones del Centro de Comando de Seguridad).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Seleccione Observación de Security Command Center como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://gcp-scc-observation-logs/. Esta URL debe terminar con una barra inclinada (/).

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
access.callerIp read_only_udm.principal.ip Asignación directa.
access.callerIpGeo.regionCode read_only_udm.principal.location.country_or_region Asignación directa.
access.methodName read_only_udm.additional.fields.value.string_value Asignación directa. También se asigna a read_only_udm.target.labels.value.
access.principalEmail read_only_udm.principal.user.email_addresses Asignación directa.
access.principalSubject read_only_udm.principal.user.attribute.labels.value Asignación directa.
assetDisplayName read_only_udm.target.resource.attribute.labels.value Asignación directa.
assetId read_only_udm.target.asset.asset_id El valor que aparece después de assets/ se extrae del campo assetId y se asigna como AssetID:<extracted_value>.
category read_only_udm.metadata.product_event_type Asignación directa.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Asignación directa. El objeto about se puede repetir varias veces en función del número de contactos. El campo roles.name se define como Security para este campo.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Asignación directa. El objeto about se puede repetir varias veces en función del número de contactos. El campo roles.name se define como Technical para este campo.
createTime read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como createTime para este campo.
eventTime read_only_udm.metadata.event_timestamp Se ha convertido al formato de marca de tiempo.
externalUri read_only_udm.about.url Asignación directa.
findingClass read_only_udm.security_result.category_details Asignación directa.
findingProviderId read_only_udm.target.resource.attribute.labels.value Asignación directa.
mitreAttack.primaryTactic read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como primary_tactic para este campo.
mitreAttack.primaryTechniques read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función del número de técnicas. El campo key se define como primary_technique para este campo.
mute read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como mute para este campo.
name read_only_udm.metadata.product_log_id Asignación directa.
parentDisplayName read_only_udm.metadata.description Asignación directa.
resource.display_name read_only_udm.target.resource.attribute.labels.value Asignación directa.
resource.name read_only_udm.target.resource.name, read_only_udm.principal.resource.name Asignación directa. Cuando este campo se usa para rellenar el campo principal.resource.name, el analizador comprobará si resource.project_name está vacío. Si no está vacío, se usará resource.project_name.
resource.parent_display_name read_only_udm.target.resource.attribute.labels.value Asignación directa.
resource.parent_name read_only_udm.target.resource.attribute.labels.value Asignación directa.
resource.project_display_name read_only_udm.target.resource.attribute.labels.value Asignación directa.
resource.project_name read_only_udm.target.resource.attribute.labels.value Asignación directa.
resource.type read_only_udm.target.resource.attribute.labels.value Asignación directa.
resourceName read_only_udm.target.resource.name Asignación directa.
securityMarks.name read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como securityMarks_name para este campo.
gravedad read_only_udm.security_result.severity, read_only_udm.security_result.priority_details Asignación directa.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Asignación directa.
sourceProperties.contextUris.mitreUri.displayName read_only_udm.security_result.detection_fields.key Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles.
sourceProperties.contextUris.mitreUri.url read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles.
sourceProperties.detectionCategory.ruleName read_only_udm.security_result.rule_name Asignación directa.
sourceProperties.detectionCategory.subRuleName read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como sourceProperties_detectionCategory_subRuleName para este campo.
sourceProperties.detectionPriority read_only_udm.security_result.priority_details Asignación directa.
sourceProperties.findingId read_only_udm.target.resource.attribute.labels.value Asignación directa.
estado read_only_udm.security_result.detection_fields.value Asignación directa. El objeto detection_fields se puede repetir varias veces en función de los campos disponibles. El campo key se define como state para este campo.
N/A read_only_udm.metadata.log_type Valor fijo establecido en el código fuente GCP_SECURITYCENTER_OBSERVATION.
N/A read_only_udm.metadata.product_name Valor fijo establecido en el código fuente Security Command Center.
N/A read_only_udm.metadata.vendor_name Valor fijo establecido en el código fuente Google.
N/A read_only_udm.principal.user.account_type Se asigna el valor CLOUD_ACCOUNT_TYPE si el correo electrónico principal está presente.
N/A read_only_udm.security_result.alert_state Valor fijo establecido en el código fuente ALERTING.
N/A read_only_udm.security_result.priority Se asigna el valor LOW_PRIORITY si la gravedad es LOW.
N/A read_only_udm.target.application Se extrae del campo resourceName.
N/A read_only_udm.target.resource.product_object_id Extraído del campo principal.
N/A read_only_udm.target.resource.resource_type El valor predeterminado es CLUSTER. Su valor debe ser VIRTUAL_MACHINE si la categoría es Impact: GPU Instance Created o Impact: Many Instances Created. Se define como SETTING si la categoría es Persistence: Add Sensitive Role.
N/A read_only_udm.target.resource_ancestors.name Se extrae de los campos parent y resourceName.
N/A read_only_udm.target.resource_ancestors.product_object_id Se extrae de los campos parent, resource.project_name y resourceName.
N/A read_only_udm.target.resource_ancestors.resource_type Se define como CLOUD_PROJECT si resource.type es google.compute.Project.
N/A read_only_udm.target.labels.key El valor se asigna a access_methodName si access.methodName está presente.
N/A read_only_udm.target.labels.value El valor se define en access.methodName.
N/A read_only_udm.target.resource.attribute.labels.key La clave se asigna a uno de los siguientes valores en función del campo disponible: resource_parentDisplayName, resource_type, resource_parentName, resource_projectDisplayName, resource_displayName, finding_id, source_id, FindingProviderId, sourceDisplayName o asset_display_name.
N/A read_only_udm.target.resource.attribute.labels.value El valor se define en uno de los siguientes campos en función del campo disponible: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName o assetDisplayName.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.