Recopila registros de combinaciones tóxicas de Security Command Center

Compatible con:

En este documento, se explica cómo exportar y transferir registros de combinaciones tóxicas de Security Command Center a Google Security Operations con Cloud Storage. El analizador extrae y estructura los datos de los hallazgos de seguridad de los registros JSON. Normaliza los datos en un modelo de datos unificado (UDM), controla diferentes formatos de datos y los enriquece con contexto adicional, como información de la red y detalles del usuario-agente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging

Cree un bucket de Cloud Storage

  1. Accede a la consola deGoogle Cloud .

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre del bucket, por ejemplo, gcp-scc-toxic-combination-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura el registro de Security Command Center

  1. Accede a la consola deGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Configuración.

  5. Haz clic en la pestaña Exportaciones continuas.

  6. En Nombre de la exportación, haz clic en Exportación de Logging.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.

  9. Haz clic en Guardar.

Configura la exportación de registros de Combinación tóxica de Security Command Center

  1. Accede a la consola deGoogle Cloud .
  2. Ve a Logging > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, scc-toxic-combination-logs-sink.
    • Destino del receptor: Selecciona Cloud Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-scc-toxic-combination-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"

    • Set Export Options: Incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de combinación tóxica de Security Command Center.
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona Combinación tóxica de Security Command Center como el Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-toxic-combination-logs.
    • URI Is A: Selecciona Directory which includes subdirectories.

    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

  10. Haz clic en Siguiente.

  11. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-scc-toxic-combination-logs.
  • URI Is A: Selecciona Directory which includes subdirectories.
  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category read_only_udm.metadata.product_event_type Se asigna directamente desde el campo category en el registro sin procesar.
createTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo createTime en el registro sin procesar, donde la clave es "createTime".
mudo/muda/callado/callada read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo mute en el registro sin procesar, en el que la clave es "mute".
nombre read_only_udm.metadata.product_log_id Se asigna directamente desde el campo name en el registro sin procesar.
elemento superior read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo parent en el registro sin procesar.
parentDisplayName read_only_udm.metadata.description Se asigna directamente desde el campo parentDisplayName en el registro sin procesar.
resource.displayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.displayName en el registro sin procesar, en el que la clave es "resource_displayName".
resource.folders read_only_udm.target.resource_ancestors El analizador extrae la información de la carpeta de recursos del array folders en el objeto resource. Itera a través de cada carpeta y asigna resourceFolder a name y resourceFolderDisplayName a attribute.labels.value, donde la clave es "folder_resourceFolderDisplayName".
resource.name read_only_udm.target.resource.name Se asigna directamente desde el campo resource.name en el registro sin procesar.
resource.parent read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.parent en el registro sin procesar, en el que la clave es "resource_parent".
resource.parentDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.parentDisplayName en el registro sin procesar, en el que la clave es "resource_parentDisplayName".
resource.project read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.project en el registro sin procesar, donde la clave es "resource_project".
resource.projectDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.projectDisplayName en el registro sin procesar, en el que la clave es "resource_projectDisplayName".
resource.service read_only_udm.target.application Se asigna directamente desde el campo resource.service en el registro sin procesar.
resource.type read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo resource.type en el registro sin procesar, donde la clave es "resource_type".
resourceName read_only_udm.target.resource.name Se asigna directamente desde el campo resourceName en el registro sin procesar.
securityMarks.name read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo securityMarks.name en el registro sin procesar, donde la clave es "securityMarks_name".
gravedad, read_only_udm.security_result.severity Se asigna directamente desde el campo severity en el registro sin procesar.
state read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo state en el registro sin procesar, en el que la clave es "state".
eventTime read_only_udm.metadata.event_timestamp.seconds El analizador extrae la marca de tiempo del campo eventTime y la convierte en segundos de época Unix.
read_only_udm.metadata.product_name El analizador establece product_name en Security Command Center según la fuente de registro.
read_only_udm.metadata.vendor_name El analizador establece vendor_name en Google según la fuente de registro.
read_only_udm.security_result.alert_state El analizador establece alert_state en ALERTING, ya que este registro representa una alerta activa.
read_only_udm.security_result.category_details El analizador establece category_details en POSTURE_VIOLATION según la fuente de registro.
read_only_udm.security_result.url_back_to_product El analizador construye de forma dinámica el objeto url_back_to_product con los IDs de la organización, la fuente y el hallazgo extraídos del registro.
elemento superior read_only_udm.target.resource.product_object_id El analizador extrae el ID de la fuente del campo parent y lo establece como product_object_id.
resourceName read_only_udm.target.resource_ancestors.name El analizador extrae el ID del proyecto del campo resourceName y lo establece como una entrada resource_ancestors con resource_type como CLOUD_PROJECT.
read_only_udm.target.resource_ancestors.resource_subtype El analizador establece resource_subtype en google.cloud.resourcemanager.Project para los ancestros de la carpeta según la fuente de registro.
read_only_udm.target.resource.attribute.labels.key El analizador establece varias claves para el campo labels en el objeto attribute del recurso de destino. Estas claves incluyen "resource_parentDisplayName", "resource_type", "resource_projectDisplayName", "resource_displayName", "finding_id", "source_id", "resource_parent" y "resource_project".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.