Se usó la API de Cloud Translation para traducir esta página.

Configura la exportación de datos a BigQuery en un proyecto Google Cloud autoadministrado

Google Security Operations te permite exportar datos del Modelo de datos unificado (UDM) a un proyecto autoadministrado que te pertenece y que administras. Puedes vincular tu propio proyecto Google Cloud a tu instancia de Google SecOps y administrar de forma independiente los permisos de IAM sin depender de la configuración administrada por Google. También puedes habilitar y configurar la función Bring Your Own BigQuery (BYOBQ) seleccionando Configuración del SIEM > Exportación de datos.

Google SecOps exporta las siguientes categorías de datos a tu proyecto de BigQuery:

udm_events: Son los datos de registro normalizados en el esquema del UDM.
udm_events_aggregates: Son datos agregados que se resumen por cada hora de eventos normalizados.
entity_graph: El gráfico de entidades tiene tres dimensiones (datos contextuales, datos derivados y contexto global). Todos los datos contextuales y los datos derivados, así como parte de los datos de contexto global, son datos escritos y almacenados como UDM.
rule_detections: Son las detecciones que devuelven las reglas que se ejecutan en Google SecOps.
ioc_matches: Son las coincidencias de IOC que se encuentran en los eventos del UDM.
ingestion_metrics: Son las métricas relacionadas con la canalización de transferencia y normalización (se exportan de forma predeterminada).
udm_enum_value_to_name_mapping: Asigna valores de enumeración a nombres de campos de UDM (se exporta de forma predeterminada).
entity_enum_value_to_name_mapping: Asigna valores de enumeración a nombres de campos de entidades (se exporta de forma predeterminada).

Período de retención

Si ya eres cliente, el período de retención que establezcas definirá cuánto tiempo permanecerán los datos exportados de tu BigQuery en tu proyecto administrado por Google.

El período de retención comienza a partir de la fecha del registro exportado más antiguo. Puedes configurar un período de retención independiente para cada fuente de datos, hasta un máximo que coincida con el período de retención de registros predeterminado en Google SecOps.

Si no se especifica ningún período de retención, el comportamiento predeterminado es seguir exportando datos sin limpieza ni purga para limitar el período de retención.

En este caso, puedes establecer el período de retención en Ilimitado:

Haz clic en Configuración del SIEM > Exportación de datos.
En la columna Período de retención de la tabla Exportación de datos, selecciona Ilimitado en la lista para el tipo de datos pertinente.

Luego, puedes configurar una regla de ciclo de vida de objeto en tu bucket de almacenamiento de Google Cloud para borrar objetos según sea necesario.

Migración de datos para clientes existentes

Si ya eres cliente, tus datos del proyecto existente administrado por Google no se migrarán al proyecto autoadministrado. Como no se migran los datos, estos se encuentran en dos proyectos separados. Para consultar los datos en un período que incluya la fecha de activación del proyecto autoadministrado, debes completar una de las siguientes acciones:

Usa una sola consulta que combine datos de ambos proyectos.
Ejecuta dos consultas separadas en los proyectos respectivos, una para los datos anteriores a la fecha de activación del proyecto autoadministrado y otra para los datos posteriores. Cuando vence el período de retención de tu proyecto administrado por Google, se borran esos datos. Después de ese punto, solo puedes consultar los datos que se encuentran dentro de tu proyecto Google Cloud.

Permisos necesarios para exportar datos

Para acceder a tus datos de BigQuery, ejecuta tus consultas dentro de BigQuery. Asigna los siguientes roles de IAM a los usuarios que necesiten acceso:

Visualizador de datos de BigQuery (roles/bigquery.dataViewer)
Usuario de trabajo de BigQuery (roles/bigquery.jobUser)
Visualizador de objetos de almacenamiento (roles/storage.objectViewer) También puedes asignar roles a nivel del conjunto de datos. Para obtener más información, consulta Roles y permisos de IAM de BigQuery.

Inicia la exportación de datos de BigQuery a tu proyecto autoadministrado

Crea un proyecto Google Cloud en el que quieras que se exporten tus datos. Para obtener más información, consulta Configura un proyecto de Google Cloud para Google SecOps.

Nota: El proyecto autoadministrado debe estar vinculado a la instancia de Google SecOps. Una vez que se habilita esta capacidad, no puedes volver a un proyecto administrado por Google.
Vincula tu proyecto autoadministrado a tu instancia de Google SecOps para establecer una conexión entre Google SecOps y tu proyecto autoadministrado. Para obtener más información, consulta Vincula Google Security Operations a los servicios de Google Cloud . También puedes habilitar y configurar la función Bring Your Own BigQuery (BYOBQ) seleccionando Configuración del SIEM > Exportación de datos.
Para validar que los datos se exporten a tu proyecto autoadministrado, consulta las tablas del conjunto de datos datalake en BigQuery.

Puedes escribir consultas ad hoc sobre los datos de Google SecOps almacenados en tablas de BigQuery. También puedes crear estadísticas más avanzadas con otras herramientas de terceros que se integran en BigQuery.

Todos los recursos creados en tu proyecto Google Cloud autoadministrado para habilitar las exportaciones, incluidos el bucket de Cloud Storage y las tablas de BigQuery, se encuentran en la misma región que Google SecOps.

Si recibes un error como Unrecognized name: <field_name> at [<some_number>:<some_number>] cuando consultas BigQuery, significa que el campo al que intentas acceder no está en tu conjunto de datos y que tu esquema se genera de forma dinámica durante el proceso de exportación.

Para obtener más información sobre los datos de Google SecOps en BigQuery, consulta Datos de Google SecOps en BigQuery.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.