Cómo recopilar registros no especificados de Cloud Security Command Center

Compatible con:

En este documento, se explica cómo exportar e transferir los registros no especificados de Security Command Center a Google Security Operations con Cloud Storage. El analizador transforma los hallazgos de seguridad sin procesar en formato JSON en un modelo de datos unificado (UDM). En particular, controla las inconsistencias en la estructura de datos de entrada, extrae campos relevantes, como los detalles de la vulnerabilidad y la información del usuario, y enriquece el resultado con etiquetas y metadatos para mejorar el análisis y la correlación.

Antes de comenzar

  • Asegúrate de que Google Cloud Security Command Center esté habilitado y configurado en tu Google Cloud entorno.
  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Security Command Center y Cloud Logging.

Cree un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-scc-unspecified-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura el registro de Security Command Center

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Security Command Center.

    Ir a Security Command Center

  3. Selecciona tu organización.

  4. Haz clic en Configuración.

  5. Haz clic en la pestaña Exportaciones continuas.

  6. En Nombre de la exportación, haz clic en Exportación de registros.

  7. En Receptores, activa Registros de resultados en Logging.

  8. En Logging project, ingresa o busca el proyecto en el que deseas registrar los resultados.

  9. Haz clic en Guardar.

Configura Google Cloud la exportación de registros no especificados de Security Command Center

  1. Accede a la consola de Google Cloud.
  2. Ve a Registros > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, scc-unspecified-logs-sink.
    • Sink Destination: Selecciona Cloud Storage Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-scc-unspecified-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Funspecified"
resource.type="security_command_center_unspecified"

    • Establecer opciones de exportación: Incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir Google Cloud registros no especificados de Security Command Center

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Google Cloud Registros no especificados de Security Command Center.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona Security Command Center Unspecified como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo, gs://gcp-scc-unspecified-logs.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
canonicalName read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo de registro sin procesar canonicalName. Representa el ancestro del recurso de destino.
category read_only_udm.metadata.product_event_type Se asigna directamente desde el campo de registro sin procesar category.
category read_only_udm.metadata.event_type Se deriva del campo category. Si la categoría es OPEN_FIREWALL y se cumplen ciertas condiciones, se asigna a SCAN_VULN_HOST. De lo contrario, la opción predeterminada es GENERIC_EVENT.
category read_only_udm.security_result.category Se asigna desde el campo de registro sin procesar category. Si la categoría es OPEN_FIREWALL, se asigna a POLICY_VIOLATION.
complies.ids read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar complies.ids. Representa el ID de cumplimiento.
complies.standard read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar complies.standard. Representa el estándar de cumplimiento.
complies.standard read_only_udm.about.labels.value Se asigna directamente desde el campo de registro sin procesar complies.standard. Representa el estándar de cumplimiento.
contacts.security.contacts.email read_only_udm.security_result.about.user.email_addresses Se asigna directamente desde el campo de registro sin procesar contacts.security.contacts.email. Representa la dirección de correo electrónico del contacto de seguridad.
contacts.technical.contacts.email read_only_udm.security_result.about.user.email_addresses Se asigna directamente desde el campo de registro sin procesar contacts.technical.contacts.email. Representa la dirección de correo electrónico del contacto técnico.
createTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar createTime.
eventTime read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo de registro sin procesar eventTime después de convertirlo en una marca de tiempo.
externalUri read_only_udm.about.url Se asigna directamente desde el campo de registro sin procesar externalUri.
mudo/muda/callado/callada read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar mute.
muteInitiator read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar muteInitiator.
muteUpdateTime read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar muteUpdateTime.
nombre read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar name. Se usará como el ID del hallazgo.
elemento superior read_only_udm.target.resource_ancestors.name Se asigna directamente desde el campo de registro sin procesar parent.
parentDisplayName read_only_udm.metadata.description Se asigna directamente desde el campo de registro sin procesar parentDisplayName.
resourceName read_only_udm.target.resource.name Se asigna directamente desde el campo de registro sin procesar resourceName.
gravedad, read_only_udm.security_result.severity Se asigna directamente desde el campo de registro sin procesar severity.
sourceDisplayName read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceDisplayName.
sourceProperties.AllowedIpRange read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.AllowedIpRange.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol.
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports.
sourceProperties.ReactivationCount read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ReactivationCount.
sourceProperties.ResourcePath read_only_udm.target.resource.attribute.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ResourcePath. Los valores se concatenan en una sola cadena.
sourceProperties.ScannerName read_only_udm.additional.fields.value.string_value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ScannerName.
sourceProperties.ScannerName read_only_udm.principal.labels.value Se asigna directamente desde el campo de registro sin procesar sourceProperties.ScannerName.
state read_only_udm.security_result.detection_fields.value Se asigna directamente desde el campo de registro sin procesar state.
read_only_udm.metadata.log_type Está codificado en GCP_SECURITYCENTER_UNSPECIFIED en el código del analizador.
read_only_udm.metadata.product_log_id Se extrae del campo name, que representa el ID del hallazgo.
read_only_udm.metadata.product_name Está codificado en Security Command Center en el código del analizador.
read_only_udm.metadata.vendor_name Está codificado en Google en el código del analizador.
read_only_udm.security_result.about.investigation.status Está codificado en NEW en el código del analizador.
read_only_udm.security_result.alert_state Está codificado en NOT_ALERTING en el código del analizador.
read_only_udm.security_result.url_back_to_product Se construye en el código del analizador con el formato https://console.cloud.google.com/security/command-center/findingsv2;name=organizations%2F{organization_id}%2Fsources%2F{source_id}%2Ffindings%2F{finding_id}.
read_only_udm.target.resource.product_object_id Se extrae del campo parent en el registro sin procesar y representa el ID de la fuente.
read_only_udm.target.resource.resource_type Se establece en CLUSTER en el código del analizador.
read_only_udm.target.resource_ancestors.resource_type Está codificado en CLOUD_PROJECT en el código del analizador.
read_only_udm.target.resource_ancestors.name Se extrae del campo resourceName en el registro sin procesar y representa el ID del proyecto.
read_only_udm.additional.fields.key Se crean varias instancias con claves fijas: compliances_id_0_0, compliances_standard_0 y sourceProperties_ScannerName.
read_only_udm.about.labels.key Está codificado en compliances_standard y compliances_id en el código del analizador.
read_only_udm.principal.labels.key Está codificado en sourceProperties_ScannerName en el código del analizador.
read_only_udm.target.resource.attribute.labels.key Se crean varias instancias con claves fijas: finding_id, source_id, sourceProperties_ResourcePath, sourceDisplayName, sourceProperties_ReactivationCount, sourceProperties_AllowedIpRange, sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol y sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports.
read_only_udm.security_result.about.user.attribute.roles.name Se crean dos instancias, una con el valor Security y la otra con Technical, según el campo contacts en el registro sin procesar.
read_only_udm.security_result.detection_fields.key Se crean varias instancias con claves hard-coded: mute, mute_update_time, mute_initiator, createTime y state.

Cambios

2023-05-01

  • Se actualizó el analizador para controlar asignaciones adicionales para etiquetas que ya no se usan (obsoleto).

2023-11-29

  • Las asignaciones de principal/target.hostname y principal/target.asset.hostname se ajustaron para que funcionen de la misma manera.

2023-05-02

  • El analizador ahora crea una dirección web (URL) con el formato correcto para el campo security_result.url_back_to_product en la UDM.

2023-04-12

  • Se actualizó el analizador GCP_SECURITYCENTER_UNSPECIFIED de forma predeterminada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.