Se usó la API de Cloud Translation para traducir esta página.

Configura la exportación de datos a BigQuery en un proyecto Google Cloud autoadministrado

Google Security Operations te permite exportar datos del modelo de datos unificado (UDM) a un proyecto que tú posees y administras. Puedes usar exclusivamente un proyecto administrado por ti vinculado a tu instancia de Google SecOps y configurar de forma independiente los permisos de IAM sin depender de Google.

Google SecOps exporta las siguientes categorías de datos a tu proyecto de BigQuery:

udm_events: Datos de registro normalizados en el esquema del UDM
udm_events_aggregates: Datos agregados que se resumen por cada hora de eventos normalizados.
entity_graph: El gráfico de entidades tiene tres dimensiones (datos contextuales, datos derivados y contexto global). Todos los datos contextuales y derivados, así como parte de los datos de contexto global, son datos escritos y almacenados como UDM.
rule_detections: Detecciones que muestran las reglas que se ejecutan en Google SecOps.
ioc_matches: Coincidencias de IOC que se encuentran con los eventos de UDM.
ingestion_metrics: Métricas relacionadas con la canalización de transferencia y normalización.
udm_enum_value_to_name_mapping: Asigna valores de enumeración a nombres de campos de la UDM (exportados de forma predeterminada).
entity_enum_value_to_name_mapping: Asigna valores de enumeración a nombres de campos de entidad (se exportan de forma predeterminada).

Período de retención

Si ya eres cliente y habilitas esta función, los datos de BigQuery que se exportaron a tu proyecto administrado por Google se quedarán en el proyecto correspondiente durante el período de retención especificado.

El período de retención comienza a partir de la fecha de la exportación de datos más antigua:

El período de retención para la exportación de BigQuery se puede configurar por fuente de datos y se puede establecer en un período de retención máximo equivalente al período de retención de registros predeterminado en Google SecOps.
Si no se especifica un período de retención, el comportamiento predeterminado es seguir exportando datos sin limpieza ni purga para limitar el período de retención. En este caso, puedes crear directamente políticas de retención personalizadas para el bucket de Cloud Storage, donde los datos se exportan en el proyecto de Bring your own project (BYOP) para su consumo como una tabla externa en BigQuery.

Migración de datos para clientes existentes

Si ya eres cliente, tus datos del proyecto existente que administra Google no se migrarán al proyecto administrado por ti. Debido a que los datos no se migran, se encuentran en dos proyectos separados. Para consultar los datos en un período que incluya la fecha de activación del proyecto administrado por el cliente, debes completar una de las siguientes acciones:

Usa una sola consulta que una los datos de ambos proyectos.
Ejecuta dos consultas independientes en los proyectos respectivos, una para los datos anteriores a la fecha de activación del proyecto autoadministrado y otra para los datos posteriores. Cuando venza el período de retención de tu proyecto administrado por Google, se borrarán esos datos. Después de ese punto, solo puedes consultar los datos que se encuentran en tu proyecto Google Cloud.

Permisos necesarios para exportar datos

Para acceder a tus datos de BigQuery, ejecuta tus consultas en BigQuery. Asigna los siguientes roles de IAM a cualquier usuario que necesite acceso:

Visualizador de datos de BigQuery (roles/bigquery.dataViewer)
Usuario de trabajo de BigQuery (roles/bigquery.jobUser)
Visualizador de objetos de almacenamiento (roles/storage.objectViewer) También puedes asignar roles a nivel del conjunto de datos. Para obtener más información, consulta Roles y permisos de IAM de BigQuery.

Inicia la exportación de datos de BigQuery a tu proyecto autoadministrado

Crea un Google Cloud proyecto en el que quieras que se exporten tus datos. Para obtener más información, consulta Configura un Google Cloud proyecto para Google SecOps.

Nota: El proyecto administrado por el cliente debe estar vinculado a la instancia de Google SecOps. Una vez que se habilita esta función, no puedes volver a un proyecto administrado por Google.
Vincula tu proyecto administrado por ti a tu instancia de Google SecOps para establecer una conexión entre Google SecOps y tu proyecto administrado por ti. Para obtener más información, consulta Cómo vincular Google Security Operations a Google Cloud servicios. Después de que el representante de Google SecOps habilite la exportación de los datos que seleccionaste, comenzará el proceso de exportación de datos.
Para validar que los datos se exporten a tu proyecto administrado por ti, verifica las tablas del conjunto de datos datalake en BigQuery.

Puedes escribir consultas ad hoc sobre los datos de Google SecOps almacenados en tablas de BigQuery. También puedes crear estadísticas más avanzadas con otras herramientas de terceros que se integran en BigQuery.

Todos los recursos creados en tu proyecto Google Cloud autoadministrado para habilitar las exportaciones, incluidos el bucket de Cloud Storage y las tablas de BigQuery, se encuentran en la misma región que Google SecOps.

Si recibes un error como Unrecognized name: <field_name> at [<some_number>:<some_number>] cuando consultas BigQuery, significa que el campo al que intentas acceder no está en tu conjunto de datos y que tu esquema se genera de forma dinámica durante el proceso de exportación.

Para obtener más información sobre los datos de Google SecOps en BigQuery, consulta Datos de Google SecOps en BigQuery.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.