Recopila registros de observación de Security Command Center

Compatible con:

En este documento, se explica cómo exportar y transferir registros de observaciones de Security Command Center a Google Security Operations con Cloud Storage. El analizador transforma los datos JSON sin procesar en un modelo de datos unificado (UDM). Normaliza la estructura de datos, controla las posibles variaciones en la entrada y, luego, extrae y asigna los campos pertinentes al esquema del UDM, lo que enriquece los datos con contexto y marcas adicionales para el análisis posterior.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging

Cree un bucket de Cloud Storage

  1. Accede a la consola deGoogle Cloud .

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-scc-observation-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura el registro de Security Command Center

  1. Accede a la consola deGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Configuración.

  5. Haz clic en la pestaña Exportaciones continuas.

  6. En Nombre de la exportación, haz clic en Exportación de Logging.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.

  9. Haz clic en Guardar.

Configura la exportación de registros de observaciones de Security Command Center

  1. Accede a la consola deGoogle Cloud .
  2. Ve a Logging > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, scc-observation-logs-sink.
    • Destino del receptor: Selecciona Cloud Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-scc-observation-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fobservations"
resource.type="security_command_center_observation"
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ffindings"
 resource.type="security_center_findings"

    • Set Export Options: Incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de observaciones de Security Command Center.
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona Observación de Security Command Center como el Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-observation-logs.
    • URI Is A: Selecciona Directory which includes subdirectories.

    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

  10. Haz clic en Siguiente.

  11. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-observation-logs.
  • URI Is A: Selecciona Directory which includes subdirectories.
  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
access.callerIp read_only_udm.principal.ip Asignación directa
access.callerIpGeo.regionCode read_only_udm.principal.location.country_or_region Asignación directa
access.methodName read_only_udm.additional.fields.value.string_value Asignación directa También se asigna a read_only_udm.target.labels.value.
access.principalEmail read_only_udm.principal.user.email_addresses Asignación directa
access.principalSubject read_only_udm.principal.user.attribute.labels.value Asignación directa
assetDisplayName read_only_udm.target.resource.attribute.labels.value Asignación directa
assetId read_only_udm.target.asset.asset_id El valor después de assets/ se extrae del campo assetId y se asigna como AssetID:<extracted_value>.
category read_only_udm.metadata.product_event_type Asignación directa
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Asignación directa El objeto about se puede repetir varias veces según la cantidad de contactos. El campo roles.name se establece en Security para este campo.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Asignación directa El objeto about se puede repetir varias veces según la cantidad de contactos. El campo roles.name se establece en Technical para este campo.
createTime read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en createTime para este campo.
eventTime read_only_udm.metadata.event_timestamp Se convirtió al formato de marca de tiempo.
externalUri read_only_udm.about.url Asignación directa
findingClass read_only_udm.security_result.category_details Asignación directa
findingProviderId read_only_udm.target.resource.attribute.labels.value Asignación directa
mitreAttack.primaryTactic read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en primary_tactic para este campo.
mitreAttack.primaryTechniques read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según la cantidad de técnicas. El campo key se establece en primary_technique para este campo.
mudo/muda/callado/callada read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en mute para este campo.
nombre read_only_udm.metadata.product_log_id Asignación directa
parentDisplayName read_only_udm.metadata.description Asignación directa
resource.display_name read_only_udm.target.resource.attribute.labels.value Asignación directa
resource.name read_only_udm.target.resource.name, read_only_udm.principal.resource.name Asignación directa Cuando este campo se usa para completar el campo principal.resource.name, el analizador verificará si resource.project_name está vacío. Si no está vacío, se usará resource.project_name en su lugar.
resource.parent_display_name read_only_udm.target.resource.attribute.labels.value Asignación directa
resource.parent_name read_only_udm.target.resource.attribute.labels.value Asignación directa
resource.project_display_name read_only_udm.target.resource.attribute.labels.value Asignación directa
resource.project_name read_only_udm.target.resource.attribute.labels.value Asignación directa
resource.type read_only_udm.target.resource.attribute.labels.value Asignación directa
resourceName read_only_udm.target.resource.name Asignación directa
securityMarks.name read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en securityMarks_name para este campo.
gravedad, read_only_udm.security_result.severity, read_only_udm.security_result.priority_details Asignación directa
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Asignación directa
sourceProperties.contextUris.mitreUri.displayName read_only_udm.security_result.detection_fields.key Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles.
sourceProperties.contextUris.mitreUri.url read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles.
sourceProperties.detectionCategory.ruleName read_only_udm.security_result.rule_name Asignación directa
sourceProperties.detectionCategory.subRuleName read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en sourceProperties_detectionCategory_subRuleName para este campo.
sourceProperties.detectionPriority read_only_udm.security_result.priority_details Asignación directa
sourceProperties.findingId read_only_udm.target.resource.attribute.labels.value Asignación directa
state read_only_udm.security_result.detection_fields.value Asignación directa El objeto detection_fields se puede repetir varias veces según los campos disponibles. El campo key se establece en state para este campo.
N/A read_only_udm.metadata.log_type Se codificó como GCP_SECURITYCENTER_OBSERVATION.
N/A read_only_udm.metadata.product_name Se codificó como Security Command Center.
N/A read_only_udm.metadata.vendor_name Se codificó como Google.
N/A read_only_udm.principal.user.account_type Se establece en CLOUD_ACCOUNT_TYPE si el correo electrónico principal está presente.
N/A read_only_udm.security_result.alert_state Se codificó como ALERTING.
N/A read_only_udm.security_result.priority Se establece en LOW_PRIORITY si la gravedad es LOW.
N/A read_only_udm.target.application Se extrae del campo resourceName.
N/A read_only_udm.target.resource.product_object_id Se extrae del campo principal.
N/A read_only_udm.target.resource.resource_type Se configura de forma predeterminada en CLUSTER. Se establece en VIRTUAL_MACHINE si la categoría es Impact: GPU Instance Created o Impact: Many Instances Created. Se establece en SETTING si la categoría es Persistence: Add Sensitive Role.
N/A read_only_udm.target.resource_ancestors.name Se extrae de los campos parent y resourceName.
N/A read_only_udm.target.resource_ancestors.product_object_id Se extrae de los campos parent, resource.project_name y resourceName.
N/A read_only_udm.target.resource_ancestors.resource_type Se establece en CLOUD_PROJECT si resource.type es google.compute.Project.
N/A read_only_udm.target.labels.key El valor se establece en access_methodName si access.methodName está presente.
N/A read_only_udm.target.labels.value El valor se establece desde access.methodName.
N/A read_only_udm.target.resource.attribute.labels.key La clave se establece en uno de los siguientes valores según el campo disponible: resource_parentDisplayName, resource_type, resource_parentName, resource_projectDisplayName, resource_displayName, finding_id, source_id, FindingProviderId, sourceDisplayName, asset_display_name.
N/A read_only_udm.target.resource.attribute.labels.value El valor se establece a partir de uno de los siguientes campos según el campo disponible: parentDisplayName, resource.type, resource.parent_name, resource.project_display_name, resource.display_name, sourceProperties.findingId, sourceProperties.sourceId, findingProviderId, sourceDisplayName, assetDisplayName.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.