Recoger registros no especificados de Security Command Center

Disponible en:

En este documento se explica cómo exportar e ingerir registros no especificados de Security Command Center en Google Security Operations mediante Cloud Storage. El analizador transforma los resultados de seguridad sin procesar en formato JSON en un modelo de datos unificado (UDM). Se encarga específicamente de las incoherencias en la estructura de los datos de entrada, extrae campos relevantes, como los detalles de las vulnerabilidades y la información de los usuarios, y enriquece la salida con etiquetas y metadatos para mejorar el análisis y la correlación.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Security Command Center está habilitado y configurado en tu entorno de Google Cloud .
  • Instancia de Google SecOps.
  • Acceso privilegiado a Security Command Center y Cloud Logging.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de los nombres de los contenedores. Por ejemplo, gcp-scc-unspecified-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este contenedor.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar el registro de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Settings (Configuración).

  5. Haga clic en la pestaña Exportaciones continuas.

  6. En Nombre de exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registrar resultados en Logging.

  8. En Proyecto de registro, introduce o busca el proyecto en el que quieras registrar los resultados.

  9. Haz clic en Guardar.

Configurar la exportación de registros no especificados de Security Command Center

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, scc-unspecified-logs-sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-scc-unspecified-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Definir opciones de exportación: incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros no especificados de Security Command Center).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Seleccione Security Command Center Unspecified (Sin especificar de Security Command Center) como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://gcp-scc-unspecified-logs.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
canonicalName read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo de registro sin procesar canonicalName. Representa el elemento antecesor del recurso de destino.
categoría read_only_udm.metadata.product_event_type Se asigna directamente desde el campo de registro sin procesar category.
categoría read_only_udm.metadata.event_type Derivado del campo category. Si la categoría es OPEN_FIREWALL y se cumplen determinadas condiciones, se asigna a SCAN_VULN_HOST. De lo contrario, se utiliza GENERIC_EVENT de forma predeterminada.
categoría read_only_udm.security_result.category Se asigna desde el campo de registro sin procesar category. Si la categoría es OPEN_FIREWALL, se asigna a POLICY_VIOLATION.
complies.ids read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar complies.ids. Representa el ID de cumplimiento.
complies.standard read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar complies.standard. Representa el estándar de cumplimiento.
complies.standard read_only_udm.about.labels.value Se asigna directamente desde el campo de registro sin procesar complies.standard. Representa el estándar de cumplimiento.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Se asigna directamente desde el campo de registro sin procesar contacts.security.contacts.email. Representa la dirección de correo del contacto de seguridad.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Se asigna directamente desde el campo de registro sin procesar contacts.technical.contacts.email. Representa la dirección de correo del contacto técnico.
createTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar createTime.
eventTime read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo de registro sin procesar eventTime después de convertirlo en una marca de tiempo.
externalUri read_only_udm.about.url Se asigna directamente desde el campo de registro sin procesar externalUri.
mute read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar mute.
muteInitiator read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar muteInitiator.
muteUpdateTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar muteUpdateTime.
name read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar name. Se usará como ID del hallazgo.
parent read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo de registro sin procesar parent.
parentDisplayName read_only_udm.metadata.description Se asigna directamente desde el campo de registro sin procesar parentDisplayName.
resourceName read_only_udm.target.resource.name Se asigna directamente desde el campo de registro sin procesar resourceName.
gravedad read_only_udm.security_result.severity Se asigna directamente desde el campo de registro sin procesar severity.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceDisplayName.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.AllowedIpRange.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ReactivationCount.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ResourcePath. Los valores se concatenan en una sola cadena.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ScannerName.
sourceProperties.ScannerName read_only_udm.principal.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ScannerName.
estado read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar state.
read_only_udm.metadata.log_type Codificado como GCP_SECURITYCENTER_UNSPECIFIED en el código del analizador.
read_only_udm.metadata.product_log_id Se extrae del campo name y representa el ID del resultado.
read_only_udm.metadata.product_name Codificado como Security Command Center en el código del analizador.
read_only_udm.metadata.vendor_name Codificado como Google en el código del analizador.
read_only_udm.security_result.about.investigation.status Codificado como NEW en el código del analizador.
read_only_udm.security_result.alert_state Codificado como NOT_ALERTING en el código del analizador.
read_only_udm.security_result.url_back_to_product Se construye en el código del analizador con el formato https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}.
read_only_udm.target.resource.product_object_id Se extrae del campo parent del registro sin procesar, que representa el ID de origen.
read_only_udm.target.resource.resource_type Se define como CLUSTER en el código del analizador.
read_only_udm.target.resource_ancestors.resource_type Codificado como CLOUD_PROJECT en el código del analizador.
read_only_udm.target.resource_ancestors.name Se extrae del campo resourceName del registro sin procesar, que representa el ID del proyecto.
read_only_udm.additional.fields.key Se crean varias instancias con claves codificadas: compliances_id_0_0, compliances_standard_0 y sourceProperties_ScannerName.
read_only_udm.about.labels.key Codificado como compliances_standard y compliances_id en el código del analizador.
read_only_udm.principal.labels.key Codificado como sourceProperties_ScannerName en el código del analizador.
read_only_udm.target.resource.attribute.labels.key Se crean varias instancias con claves codificadas: finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol y sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Se crean dos instancias, una con el valor Security y otra con Technical, en función del campo contacts del registro sin procesar.
read_only_udm.security_result.detection_fields.key Se crean varias instancias con claves codificadas: mute, mute_update_time, mute_initiator, createTime y state.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.