Esta página se ha traducido con Cloud Translation API.

Trabajar con espacios de nombres de recursos

Disponible en:

SecOps de Google SIEM

Cuando buscas un recurso en Google Security Operations, por ejemplo, mediante una dirección IP o un nombre de host, puedes ver toda la actividad asociada a ese recurso. A veces, hay varios recursos asociados a la misma dirección IP o nombre de host (por ejemplo, debido a asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacio de nombres de los recursos te permite clasificar categorías de recursos que comparten un entorno de red o un espacio de nombres comunes y, a continuación, buscar esos recursos en la interfaz de usuario de Google SecOps en función de su espacio de nombres. Por ejemplo, puedes crear espacios de nombres para redes en la nube, segmentación de corporación frente a producción, redes de fusiones y adquisiciones, etc.

Crear y asignar un espacio de nombres a los datos

Todos los recursos tienen un espacio de nombres que se define automáticamente o se configura manualmente. Si no se proporciona ningún espacio de nombres en los registros, se asociará un espacio de nombres predeterminado a los recursos, que se etiquetará como sin etiquetar en la interfaz de usuario de Google SecOps. Los registros insertados en Google SecOps antes de que se admitieran los espacios de nombres se etiquetan implícitamente como parte del espacio de nombres predeterminado o sin etiquetar.

Puedes configurar espacios de nombres de las siguientes formas:

Versión de Linux de Google SecOps Forwarder.
Algunos de los analizadores de normalización (por ejemplo, los de Google Cloud) pueden rellenar automáticamente el espacio de nombres (en el caso de Google Cloud, en función de los identificadores de proyecto y de VPC).
API Chronicle Ingestion.
Gestión de feeds de Google SecOps.

Espacios de nombres en la interfaz de usuario de Google SecOps

Verás el espacio de nombres asociado a tus recursos en toda la interfaz de usuario de Google SecOps, sobre todo cuando haya una lista de recursos, como en los siguientes casos:

Búsqueda de UDM
Análisis de registros sin procesar
Vistas de detección

Barra de búsqueda

Cuando se usa la barra de búsqueda, se muestran los espacios de nombres asociados a cada recurso. Si seleccionas un recurso de un espacio de nombres concreto, se abrirá en la vista de recursos y se mostrarán las demás actividades asociadas al mismo espacio de nombres.

Los recursos que no estén asociados a ningún espacio de nombres se asignarán al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en las listas.

Vista de recursos

En la vista de recursos, el espacio de nombres se indica en el título del recurso, en la parte superior de la página. Si seleccionas el menú desplegable haciendo clic en la flecha hacia abajo, puedes seleccionar los otros espacios de nombres asociados al recurso.

Vista de recursos con espacios de nombres

Vistas de direcciones IP, dominios y hashes

En toda la interfaz de usuario de Google SecOps, los espacios de nombres se muestran en cualquier lugar en el que se haga referencia a un recurso (excepto en el espacio de nombres predeterminado o sin etiquetar), incluidas las vistas Dirección IP, Dominio y Hash.

Por ejemplo, en la vista Dirección IP, los espacios de nombres se incluyen tanto en la pestaña de recursos como en el gráfico de prevalencia.

Etiquetas de ingestión

Para acotar aún más la búsqueda, puedes usar etiquetas de ingesta para configurar feeds independientes. Para ver una lista completa de las etiquetas de ingestión admitidas, consulta Analizadores predeterminados admitidos.

Ejemplos: tres formas de añadir un espacio de nombres a los registros

En los siguientes ejemplos se muestran tres formas diferentes de añadir un espacio de nombres a los registros que ingieres en tu cuenta de Google SecOps.

Asignar un espacio de nombres mediante Google SecOps Forwarder

Puedes configurar un espacio de nombres añadiéndolo al archivo de configuración de Google SecOps Forwarder como espacio de nombres específico del reenviador o específico del recopilador. En el siguiente ejemplo de configuración de reenviador se ilustran ambos tipos:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Como se muestra en este ejemplo, los registros procedentes de WINEVTLOG incluyen la etiqueta de espacio de nombres FORWARDER. Los registros procedentes de NIX_SYSTEM incluyen la etiqueta de espacio de nombres CORPORATE.

De esta forma, se define un espacio de nombres general para el recopilador de registros. Si tu entorno contiene una combinación de registros que pertenecen a varios espacios de nombres y no puedes segmentar estas máquinas (o no quieres hacerlo), Google recomienda crear varios colectores para la misma fuente de registro que filtre los registros a su respectivo espacio de nombres mediante expresiones regulares.

Asignar un espacio de nombres con la API Ingestion

También puede configurar un espacio de nombres al enviar sus registros a través del endpoint unstructuredlogentries de la API de ingestión de Chronicle, como se muestra en el siguiente ejemplo:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

En este ejemplo, el espacio de nombres es un parámetro del cuerpo de la llamada POST a la API. Los registros de BIND\_DNS reenvían sus datos de registro con la etiqueta de espacio de nombres FORWARDER.

Asignar un espacio de nombres con la gestión de feeds de Google SecOps

Como se indica en la guía del usuario de gestión de feeds, la gestión de feeds de Google SecOps te permite configurar y gestionar varias secuencias de registros en tu arrendatario de Google SecOps.

En el siguiente ejemplo, los registros de Office 365 se ingieren con la etiqueta de espacio de nombres FORWARDER:

Figura 1: Configuración de gestión de feeds con la etiqueta de espacio de nombres FORWARDER

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.