Esta página se ha traducido con Cloud Translation API.

Configurar la exportación de datos a BigQuery en un proyecto Google Cloud autogestionado

Google Security Operations te permite exportar datos del modelo de datos unificado (UDM) a un proyecto autogestionado que te pertenezca y que puedas gestionar. Puedes vincular tu propio Google Cloud proyecto a tu instancia de Google SecOps y gestionar de forma independiente los permisos de gestión de identidades y accesos sin depender de los ajustes gestionados por Google. También puedes habilitar y configurar la función Bring Your Own BigQuery (BYOBQ) seleccionando Configuración de SIEM > Exportación de datos.

Google SecOps exporta las siguientes categorías de datos a tu proyecto de BigQuery:

udm_events: datos de registro normalizados en el esquema de UDM.
udm_events_aggregates: datos agregados que se resumen por cada hora de eventos normalizados.
entity_graph: el gráfico de entidades tiene tres dimensiones (datos contextuales, datos derivados y contexto global). Todos los datos contextuales y derivados, así como parte de los datos de contexto global, se escriben y almacenan como UDM.
rule_detections: detecciones devueltas por las reglas que se ejecutan en Google SecOps.
ioc_matches: coincidencias de IOC que se encuentran en eventos de UDM.
ingestion_metrics: métricas relacionadas con el flujo de procesamiento de ingestión y normalización (se exportan de forma predeterminada).
udm_enum_value_to_name_mapping: asigna valores de enumeración a nombres de campos de UDM (se exporta de forma predeterminada).
entity_enum_value_to_name_mapping: asigna valores de enumeración a nombres de campos de entidades (se exporta de forma predeterminada).

Periodo de conservación

Si ya eres cliente, el periodo de conservación que definas determinará cuánto tiempo permanecerán los datos exportados de BigQuery en tu proyecto gestionado por Google.

El periodo de conservación comienza a partir de la fecha del registro exportado más antiguo. Puede configurar un periodo de conservación independiente para cada fuente de datos, hasta un máximo que coincida con el periodo de conservación de registros predeterminado de Google SecOps.

Si no se especifica ningún periodo de conservación, el comportamiento predeterminado es seguir exportando datos sin limpiarlos ni purgarlos para limitar el periodo de conservación.

En este caso, puedes definir el periodo de conservación como Ilimitado:

Haz clic en Configuración de SIEM > Exportación de datos.
En la columna Periodo de conservación de la tabla Exportación de datos, seleccione Ilimitado en la lista del tipo de datos correspondiente.

Después, puedes configurar una regla de ciclo de vida de los objetos en tu Google Cloud segmento de almacenamiento para eliminar objetos según sea necesario.

Migración de datos para clientes actuales

Si ya eres cliente, tus datos del proyecto gestionado por Google no se migrarán al proyecto autogestionado. Como los datos no se migran, se encuentran en dos proyectos independientes. Para consultar los datos de un periodo que incluya la fecha de activación del proyecto autogestionado, debe completar una de las siguientes acciones:

Usa una sola consulta que combine datos de ambos proyectos.
Ejecuta dos consultas independientes en los proyectos correspondientes: una para los datos anteriores a la fecha de activación del proyecto autogestionado y otra para los datos posteriores. Cuando vence el periodo de conservación de tu proyecto gestionado por Google, esos datos se eliminan. Después de ese momento, solo podrá consultar los datos que se encuentren en su proyecto. Google Cloud

Permisos necesarios para exportar datos

Para acceder a tus datos de BigQuery, ejecuta las consultas en BigQuery. Asigna los siguientes roles de gestión de identidades y accesos a los usuarios que necesiten acceder:

Lector de datos de BigQuery (roles/bigquery.dataViewer)
Usuario de tareas de BigQuery (roles/bigquery.jobUser)
Lector de objetos de Storage (roles/storage.objectViewer) También puedes asignar roles a nivel de conjunto de datos. Para obtener más información, consulta el artículo sobre los roles y permisos de gestión de identidades y accesos de BigQuery.

Iniciar la exportación de datos de BigQuery a tu proyecto autogestionado

Crea un Google Cloud proyecto en el que quieras exportar los datos. Para obtener más información, consulta cómo configurar un proyecto para Google SecOps. Google Cloud

Nota: El proyecto autogestionado debe estar vinculado a la instancia de Google SecOps. Una vez que se habilita esta función, no se puede volver a un proyecto gestionado por Google.
Vincule su proyecto autogestionado a su instancia de Google SecOps para establecer una conexión entre Google SecOps y su proyecto autogestionado. Para obtener más información, consulta Vincular Google Security Operations a servicios de Google Cloud . También puedes habilitar y configurar la función Bring Your Own BigQuery (BYOBQ) seleccionando Configuración de SIEM > Exportación de datos.
Para comprobar que los datos se han exportado a tu proyecto autogestionado, consulta las tablas del conjunto de datos datalake en BigQuery.

Puedes escribir consultas ad hoc en los datos de Google SecOps almacenados en tablas de BigQuery. También puede crear analíticas más avanzadas con otras herramientas de terceros que se integran con BigQuery.

Todos los recursos creados en tu proyecto autogestionado para habilitar las exportaciones, incluidos el bucket de Cloud Storage y las tablas de BigQuery, se encuentran en la misma región que Google SecOps. Google Cloud

Si recibes un error como Unrecognized name: <field_name> at [<some_number>:<some_number>] al consultar BigQuery, significa que el campo al que intentas acceder no está en tu conjunto de datos y que tu esquema se genera dinámicamente durante el proceso de exportación.

Para obtener más información sobre los datos de Google SecOps en BigQuery, consulta el artículo Datos de Google SecOps en BigQuery.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.