Se usó la API de Cloud Translation para traducir esta página.

Trabaja con espacios de nombres de recursos

Compatible con:

Google SecOps SIEM

Cuando buscas un activo en Google Security Operations, por ejemplo, con una dirección IP o un nombre de host, puedes ver toda la actividad asociada a ese activo. A veces, hay varios recursos asociados a la misma dirección IP o nombre de host (por ejemplo, debido a asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacio de nombres de recursos te permite clasificar categorías de recursos que comparten un entorno de red común, o espacio de nombres, y, luego, realizar búsquedas de esos recursos dentro de la interfaz de usuario de Google SecOps según su espacio de nombres. Por ejemplo, puedes crear espacios de nombres para redes de nube, segmentación de producción y corporativa, redes de fusiones y adquisiciones, etcétera.

Crea y asigna un espacio de nombres a los datos

Todos los activos tienen un espacio de nombres que se define automáticamente o se configura de forma manual. Si no se proporciona ningún espacio de nombres en los registros, se asocia un espacio de nombres predeterminado con los recursos, que se etiqueta como sin etiquetar en la IU de Google SecOps. Los registros que se transfieren a Google SecOps antes de que se admita el espacio de nombres se etiquetan de forma implícita como parte del espacio de nombres predeterminado o sin etiquetar.

Puedes configurar espacios de nombres con las siguientes opciones:

Versión para Linux de Google SecOps Forwarder.
Algunos de los analizadores de normalización (por ejemplo, para Google Cloud) pueden propagar automáticamente el espacio de nombres (para Google Cloud, según los identificadores del proyecto y la VPC).
API de Chronicle Ingestion.
Administración de feeds de Google SecOps.

Espacios de nombres en la IU de Google SecOps

Verás el espacio de nombres adjunto a tus activos en toda la IU de Google SecOps, especialmente cuando haya una lista de activos, incluidos los siguientes:

Búsqueda de UDM
Análisis de registro sin procesar
Vistas de detección

Barra de búsqueda

Cuando usas la barra de búsqueda, se muestran los espacios de nombres asociados a cada recurso. Si seleccionas un activo dentro de un espacio de nombres específico, se abrirá en la vista de activo, en la que se muestran las otras actividades asociadas con el mismo espacio de nombres.

Los recursos que no están asociados a un espacio de nombres se asignan al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista del recurso

En la vista de recursos, el espacio de nombres se indica en el título del recurso en la parte superior de la página. Si haces clic en la flecha hacia abajo del menú desplegable, puedes seleccionar los otros espacios de nombres asociados con el activo.

Vista de recursos con espacios de nombres

Vistas de direcciones IP, dominios y hashes

En toda la interfaz de usuario de Google SecOps, los espacios de nombres se muestran en cualquier lugar en el que se haga referencia a un activo (excepto en el espacio de nombres predeterminado o sin etiquetar), incluso en las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista Dirección IP, los espacios de nombres se incluyen en la pestaña de recursos y en el gráfico de prevalencia.

Etiquetas de transferencia

Para acotar aún más la búsqueda, puedes usar etiquetas de incorporación para configurar feeds separados. Para obtener una lista completa de las etiquetas de transferencia admitidas, consulta Analizadores predeterminados compatibles.

Ejemplos: Tres formas de agregar un espacio de nombres a los registros

En los siguientes ejemplos, se ilustran tres formas diferentes de agregar un espacio de nombres a los registros que transfieres a tu cuenta de Google SecOps.

Asigna un espacio de nombres con el reenviador de Google SecOps

Puedes configurar un espacio de nombres agregándolo al archivo de configuración de Google SecOps Forwarder como un espacio de nombres específico del reenvío o un espacio de nombres específico del recopilador. En el siguiente ejemplo de configuración del reenvío, se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros que se originan en WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros que se originan en NIX_SYSTEM incluyen la etiqueta de espacio de nombres CORPORATE.

Esto establece un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o esto es intencional), Google recomienda crear varios recopiladores para la misma fuente de registro que filtre los registros a su respectivo espacio de nombres con expresiones regulares.

Asigna un espacio de nombres con la API de Ingestion

También puedes configurar un espacio de nombres cuando envías tus registros a través del extremo unstructuredlogentries dentro de la API de Chronicle Ingestion, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro del cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asigna un espacio de nombres con la administración de feeds de Google SecOps

Como se indica en la guía del usuario de Feed Management, Google SecOps Feeds Management te permite configurar y administrar varios flujos de registros dentro de tu arrendatario de Google SecOps.

En el siguiente ejemplo, los registros de Office 365 se transferirán con la etiqueta de espacio de nombres FORWARDER:

Figura 1: Configuración de Feed Management con la etiqueta de espacio de nombres FORWARDER

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.