Recopila registros de incumplimiento de postura de Cloud Security Command Center

Compatible con:

En este documento, se explica cómo exportar e incorporar los registros de incumplimiento de la postura de Security Command Center a Google Security Operations con Cloud Storage. El analizador transforma los datos JSON sin procesar de los resultados en un modelo de datos unificado (UDM). Extrae los campos relevantes, reestructura los datos, los asigna a campos de la UDM y realiza varias validaciones y enriquecimientos para garantizar la calidad y coherencia de los datos.

Antes de comenzar

  • Asegúrate de que Google Cloud Security Command Center esté habilitado en tu Google Cloud entorno.
  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Security Command Center y Cloud Logging.

Cree un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-scc-posture-violation-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura el registro de Security Command Center

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Configuración.

  5. Haz clic en la pestaña Exportaciones continuas.

  6. En Nombre de la exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registros de resultados en Logging.

  8. En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.

  9. Haz clic en Guardar.

Configura Google Cloud la exportación de registros de incumplimiento de postura de Security Command Center

  1. Accede a la consola de Google Cloud.
  2. Ve a Registros > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, scc-posture-violation-logs-sink.
    • Sink Destination: Selecciona Cloud Storage Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-scc-posture-violation-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Fposture_violations"
resource.type="cloud_security_center_posture_violation"

    • Set Export Options: Incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir los Google Cloud registros de incumplimiento de postura de Security Command Center

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Google Cloud Registros de incumplimiento de postura de Security Command Center.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona Security Command Center Posture Violation como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo, gs://gcp-scc-posture-violation-logs.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category read_only_udm.metadata.product_event_type Asignación directa
changed_policy read_only_udm.security_result.rule_name Asignación directa
cloudProvider read_only_udm.target.resource.attribute.cloud.environment Asignación directa
createTime read_only_udm.security_result.detection_fields[createTime] Asignación directa
finding.risks.riskCategory read_only_udm.security_result.detection_fields[risk_category] Asignación directa
mudo/muda/callado/callada read_only_udm.security_result.detection_fields[mute] Asignación directa
nombre read_only_udm.metadata.product_log_id Asignación directa
originalProviderId read_only_udm.target.resource.attribute.labels[original_provider_id] Asignación directa
elemento superior read_only_udm.target.resource_ancestors[0].name Asignación directa
parentDisplayName read_only_udm.metadata.description Asignación directa
propertyDataTypes.changed_policy.primitiveDataType read_only_udm.security_result.rule_labels[changed_policy_primitive_data_type] Asignación directa
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType read_only_udm.security_result.rule_labels[detected_configuration_primitive_data_type] Asignación directa
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType read_only_udm.security_result.rule_labels[expected_configuration_primitive_data_type] Asignación directa
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes[0].structValue.fields.field_name.primitiveDataType read_only_udm.security_result.rule_labels[field_name_primitive_data_type] Asignación directa
propertyDataTypes.posture_deployment_name.primitiveDataType read_only_udm.security_result.detection_fields[posture_deployment_name_primitiveDataType] Asignación directa
propertyDataTypes.posture_deployment_resource.primitiveDataType read_only_udm.security_result.detection_fields[posture_deployment_resource_primitiveDataType] Asignación directa
propertyDataTypes.posture_name.primitiveDataType read_only_udm.security_result.detection_fields[posture_name_primitiveDataType] Asignación directa
propertyDataTypes.posture_revision_id.primitiveDataType read_only_udm.security_result.detection_fields[posture_revision_id_primitiveDataType] Asignación directa
resource.cloudProvider read_only_udm.target.resource.attribute.cloud.environment Asignación directa
resource.displayName read_only_udm.target.resource.attribute.labels[resource_displayName] Asignación directa
resource.gcpMetadata.organization read_only_udm.target.resource.attribute.labels[resource_organization] Asignación directa
resource.gcpMetadata.parent read_only_udm.target.resource.attribute.labels[resource_parent] Asignación directa
resource.gcpMetadata.parentDisplayName read_only_udm.target.resource.attribute.labels[resource_parentDisplayName] Asignación directa
resource.gcpMetadata.project read_only_udm.target.resource.attribute.labels[resource_project] Asignación directa
resource.gcpMetadata.projectDisplayName read_only_udm.target.resource.attribute.labels[resource_projectDisplayName] Asignación directa
resource.organization read_only_udm.target.resource.attribute.labels[resource_organization] Asignación directa
resource.resourcePath.nodes.displayName read_only_udm.target.resource_ancestors.name Asignación directa
resource.resourcePath.nodes.id read_only_udm.target.resource_ancestors.product_object_id Asignación directa
resource.resourcePath.nodes.nodeType read_only_udm.target.resource_ancestors.resource_subtype Asignación directa
resource.resourcePathString read_only_udm.target.resource.attribute.labels[resource_path_string] Asignación directa
resource.service read_only_udm.target.resource_ancestors[10].name Asignación directa
resource.type read_only_udm.target.resource.attribute.labels[resource_type] Asignación directa
resourceName read_only_udm.target.resource.name Asignación directa
securityPosture.changedPolicy read_only_udm.security_result.rule_labels[changed_policy] Asignación directa
securityPosture.name read_only_udm.security_result.detection_fields[security_posture_name] Asignación directa
securityPosture.policyDriftDetails[0].detectedValue read_only_udm.security_result.rule_labels[policy_drift_details_detected_value] Asignación directa
securityPosture.policyDriftDetails[0].expectedValue read_only_udm.security_result.rule_labels[policy_drift_details_expected_value] Asignación directa
securityPosture.policyDriftDetails[0].field read_only_udm.security_result.rule_labels[policy_drift_details_field] Asignación directa
securityPosture.policySet read_only_udm.security_result.rule_set Asignación directa
securityPosture.postureDeployment read_only_udm.security_result.detection_fields[posture_deployment] Asignación directa
securityPosture.postureDeploymentResource read_only_udm.security_result.detection_fields[posture_deployment_resource] Asignación directa
securityPosture.revisionId read_only_udm.security_result.detection_fields[security_posture_revision_id] Asignación directa
gravedad, read_only_udm.security_result.severity Asignación directa
sourceProperties.categories[0] read_only_udm.security_result.detection_fields[source_properties_categories] Asignación directa
sourceProperties.changed_policy read_only_udm.security_result.rule_name Asignación directa
sourceProperties.name read_only_udm.target.application Asignación directa
sourceProperties.policy_drift_details[0].drift_details.detected_configuration read_only_udm.security_result.rule_labels[policy_drift_details_detected_configuration] Asignación directa
sourceProperties.policy_drift_details[0].drift_details.expected_configuration read_only_udm.security_result.rule_labels[policy_drift_details_expected_configuration] Asignación directa
sourceProperties.policy_drift_details[0].field_name read_only_udm.security_result.rule_labels[policy_drift_details_field_name] Asignación directa
sourceProperties.posture_deployment read_only_udm.security_result.detection_fields[source_properties_posture_deployment_name] Asignación directa
sourceProperties.posture_deployment_name read_only_udm.security_result.detection_fields[source_properties_posture_deployment_name] Asignación directa
sourceProperties.posture_deployment_resource read_only_udm.security_result.detection_fields[source_properties_posture_deployment_resource] Asignación directa
sourceProperties.posture_name read_only_udm.target.application Asignación directa
sourceProperties.posture_revision_id read_only_udm.security_result.detection_fields[source_properties_posture_revision_id] Asignación directa
sourceProperties.revision_id read_only_udm.security_result.detection_fields[source_properties_posture_revision_id] Asignación directa
state read_only_udm.security_result.detection_fields[state] Asignación directa
read_only_udm.metadata.vendor_name El analizador asigna el valor estático Google.
read_only_udm.metadata.product_name El analizador asigna el valor estático Security Command Center.
read_only_udm.target.resource.resource_type El analizador asigna el valor estático CLUSTER.
read_only_udm.security_result.about.investigation.status El analizador asigna el valor estático NEW.
read_only_udm.security_result.alert_state El analizador asigna el valor estático ALERTING.
read_only_udm.is_alert El analizador asigna el valor estático true.
read_only_udm.is_significant El analizador asigna el valor estático true.
read_only_udm.metadata.event_type El analizador asigna GENERIC_EVENT como valor predeterminado. Si el campo "category" es igual a "SECURITY_POSTURE_DRIFT" y "client_device_present" y "token_target.application" no están vacíos, se asigna a "SERVICE_MODIFICATION". Si el campo "category" es igual a "SECURITY_POSTURE_POLICY_DRIFT", "SECURITY_POSTURE_POLICY_DELETE", "SECURITY_POSTURE_DETECTOR_DRIFT" o "SECURITY_POSTURE_DETECTOR_DELETE", y "network_edr_not_present" es falso y "client_device_present" es verdadero, se asigna a "SCAN_UNCATEGORIZED". Si el campo "token_metadata.event_type" es igual a "GENERIC_EVENT", "network_edr_not_present" es falso y "client_device_present" es verdadero, se asigna a "STATUS_UPDATE".
read_only_udm.target.resource_ancestors[1].resource_type El analizador asigna el valor estático CLOUD_PROJECT.
read_only_udm.target.resource.product_object_id El analizador extrae el valor del campo "parent", entre el segundo y tercer carácter "/".
read_only_udm.target.resource_ancestors[1].name El analizador extrae el valor del campo "resourceName", entre el cuarto y el quinto carácter "/".
read_only_udm.security_result.url_back_to_product El analizador compila de forma dinámica la URL con los IDs de organización, fuente y hallazgo extraídos del registro.
securityMarks.name read_only_udm.security_result.detection_fields[securityMarks_name] Asignación directa

Cambios

2025-02-07

  • Se actualizó la asignación del campo de la UDM security_result.url_back_to_product. Se agregó el valor del ID de proyecto del valor del campo de registro sin procesar resource.projectDisplayName al final de la URL asignada al campo de la UDM security_result.url_back_to_product con el prefijo ;?project=.

2024-11-21

  • Se agregó compatibilidad con la versión 2 de la API de SCC, y se incluyen los siguientes campos como parte de la actualización
  • resource.gcpMetadata.project
  • resource.gcpMetadata.projectDisplayName
  • resource.gcpMetadata.parent
  • resource.gcpMetadata.parentDisplayName
  • resource.gcpMetadata.folders.resourceFolder
  • resource.gcpMetadata.folders.resourceFolderDisplayName
  • resource.gcpMetadata.organization

2024-03-20

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.