Recoger los registros de combinaciones tóxicas de Security Command Center

Disponible en:

En este documento se explica cómo exportar e ingerir los registros de combinaciones tóxicas de Security Command Center en Google Security Operations mediante Cloud Storage. El analizador extrae y estructura los datos de las detecciones de seguridad de los registros JSON. Normaliza los datos en un modelo de datos unificado (UDM), gestiona diferentes formatos de datos y los enriquece con contexto adicional, como información de la red y detalles del agente de usuario.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, gcp-scc-toxic-combination-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar el registro de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Settings (Configuración).

  5. Haga clic en la pestaña Exportaciones continuas.

  6. En Nombre de exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Proyecto de registro, introduce o busca el proyecto en el que quieras registrar los resultados.

  9. Haz clic en Guardar.

Configurar la exportación de registros de combinación tóxica de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, scc-toxic-combination-logs-sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-scc-toxic-combination-logs/.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"

    • Definir opciones de exportación: incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de combinación tóxica de Security Command Center).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Seleccione Combinación tóxica de Security Command Center como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://gcp-scc-toxic-combination-logs/. Esta URL debe terminar con una barra inclinada (/).

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category read_only_udm.metadata.product_event_type Se asigna directamente desde el campo category del registro sin procesar.
createTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo createTime del registro sin procesar, donde la clave es "createTime".
mute read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo mute del registro sin procesar, donde la clave es "mute".
name read_only_udm.metadata.product_log_id Se asigna directamente desde el campo name del registro sin procesar.
parent read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo parent del registro sin procesar.
parentDisplayName read_only_udm.metadata.description Se asigna directamente desde el campo parentDisplayName del registro sin procesar.
resource.displayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.displayName del registro sin procesar, donde la clave es "resource_displayName".
resource.folders read_only_udm.target.resource_ancestors El analizador extrae información de la carpeta de recursos de la matriz folders del objeto resource. Recorre cada carpeta y asigna resourceFolder a name y resourceFolderDisplayName a attribute.labels.value, donde la clave es "folder_resourceFolderDisplayName".
resource.name read_only_udm.target.resource.name Se asigna directamente desde el campo resource.name del registro sin procesar.
resource.parent read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.parent del registro sin procesar, donde la clave es "resource_parent".
resource.parentDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.parentDisplayName del registro sin procesar, donde la clave es "resource_parentDisplayName".
resource.project read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.project del registro sin procesar, donde la clave es "resource_project".
resource.projectDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.projectDisplayName del registro sin procesar, donde la clave es "resource_projectDisplayName".
resource.service read_only_udm.target.application Se asigna directamente desde el campo resource.service del registro sin procesar.
resource.type read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.type del registro sin procesar, donde la clave es "resource_type".
resourceName read_only_udm.target.resource.name Se asigna directamente desde el campo resourceName del registro sin procesar.
securityMarks.name read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo securityMarks.name del registro sin procesar, donde la clave es "securityMarks_name".
gravedad read_only_udm.security_result.severity Se asigna directamente desde el campo severity del registro sin procesar.
estado read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo state del registro sin procesar, donde la clave es "state".
eventTime read_only_udm.metadata.event_timestamp.seconds El analizador extrae la marca de tiempo del campo eventTime y la convierte en segundos de época de Unix.
read_only_udm.metadata.product_name El analizador asigna el valor product_name a Security Command Center en función del origen del registro.
read_only_udm.metadata.vendor_name El analizador asigna el valor vendor_name a Google en función del origen del registro.
read_only_udm.security_result.alert_state El analizador asigna el valor ALERTING a alert_state, ya que este registro representa una alerta activa.
read_only_udm.security_result.category_details El analizador asigna el valor category_details a POSTURE_VIOLATION en función del origen del registro.
read_only_udm.security_result.url_back_to_product El analizador crea de forma dinámica el url_back_to_product usando los IDs de organización, fuente y detección extraídos del registro.
parent read_only_udm.target.resource.product_object_id El analizador extrae el ID de origen del campo parent y lo define como product_object_id.
resourceName read_only_udm.target.resource_ancestors.name El analizador extrae el ID de proyecto del campo resourceName y lo define como una entrada resource_ancestors con resource_type como CLOUD_PROJECT.
read_only_udm.target.resource_ancestors.resource_subtype El analizador asigna el valor resource_subtype a google.cloud.resourcemanager.Project para los elementos antecesores de la carpeta en función de la fuente del registro.
read_only_udm.target.resource.attribute.labels.key El analizador define varias claves para el campo labels del objeto attribute del recurso de destino. Estas claves son "resource_parentDisplayName", "resource_type", "resource_projectDisplayName", "resource_displayName", "finding_id", "source_id", "resource_parent" y "resource_project".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.