Transferencia de registros de GCP a Chronicle

En esta página, se muestra cómo inhabilitar y habilitar la transferencia de tu telemetría de GCP a Chronicle. Chronicle te permite almacenar, buscar y examinar la información de seguridad agregada de tu empresa por meses o más.

Antes de comenzar

Antes de poder transferir la telemetría de GCP a tu cuenta de Chronicle, debes completar los siguientes pasos:

  1. Comunícate con tu representante de Chronicle y obtén el código de acceso de uso único que necesitas para transferir la telemetría de GCP.

  2. Otorga las funciones de IAM necesarias para acceder a la sección de Chronicle:

    • Función de IAM de administrador de servicios de Chronicle para realizar todas las actividades.
    • Función de IAM de Visualizador de servicios de Chronicle para ver solo el estado de la transferencia.

Otorga funciones de IAM

Puedes otorgar las funciones de IAM necesarias mediante Google Cloud Console o con la CLI de gcloud.

Para otorgar funciones de IAM mediante Google Cloud Console, completa los siguientes pasos:

  1. Accede a la organización de GCP a la que deseas conectarte y navega hasta la pantalla de IAM en Productos > IAM y administración > IAM.

  2. En la pantalla de IAM, seleccione el usuario y haga clic en Editar miembro.

  3. En la pantalla Editar permisos, haz clic en Agregar otra función y busca Chronicle para encontrar las funciones de IAM.

  4. Una vez que asignes las funciones, haz clic en Guardar.

Para otorgar funciones de IAM mediante la CLI de Google Cloud, completa los siguientes pasos:

  1. Asegúrate de haber accedido a la organización correcta. Para verificar esto, ejecuta el comando gcloud init.

  2. Para otorgar la función de administrador de IAM desde la herramienta gcloud, ejecute el siguiente comando:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. Para otorgar la función de IAM de visualizador desde la herramienta gcloud, ejecuta el siguiente comando:

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

Habilita la transferencia de telemetría de GCP

Para habilitar la transferencia de telemetría de GCP a tu cuenta de Chronicle, completa los siguientes pasos:

  1. Navega a la página de Chronicle de Google Cloud Console.
    Ir a la página de Chronicle

  2. Ingresa tu código de acceso de uso único en el campo Código de acceso de Chronicle de un solo uso.

  3. Marque la casilla Acepto las condiciones de uso de Chronicle para el uso de mis datos de Google Cloud por parte de Chronicle.

  4. Haz clic en Conectar Chronicle.

    Conecta la página de Chronicle.

Ahora, se enviará tu telemetría de GCP a Chronicle. Puedes usar las funciones de análisis de Chronicle para investigar los problemas de seguridad. En las siguientes secciones, se describen las maneras de ajustar los tipos de telemetría de GCP que se enviarán a Chronicle.

Exportar los registros de Google Cloud a Chronicle

Para exportar los registros de Google Cloud a Chronicle, habilita la opción Exportar los registros de Cloud a Chronicle.

Exporta registros de Google Cloud.

Exportar metadatos de activo de Google Cloud a Chronicle

Puedes exportar tus metadatos de recursos de Google Cloud a Chronicle. Estos metadatos de recursos se extraen de tu Google Cloud Asset Inventory y constan de información sobre los activos, los recursos y las identidades, incluidos los siguientes:

  • Entorno
  • Ubicación
  • Zona
  • Modelos de hardware

Estos son algunos ejemplos de metadatos de recursos de Google Cloud:

  • Nombre de la aplicación: Google-iamSample/0.1
  • Nombre del proyecto: projects/my-project

Para exportar tus metadatos de recursos de Google Cloud a Chronicle, habilita la opción Exportar metadatos de recursos de Cloud a Chronicle.

Habilita los metadatos de recursos de Cloud.

Exportar los resultados de Security Command Center a Chronicle

Puedes exportar los siguientes resultados de SCC Premium Threat Detection (ETD) a Chronicle:

  • Software malicioso: error de IP
  • Software malicioso: error de dominio
  • Persistencia: Otorgamiento anómalo de IAM
  • Ataques de fuerza bruta a SSH
  • Robo de datos: Robo de datos de BigQuery

Para obtener más información sobre la ETD, consulte aquí.

Para exportar los resultados de SCC Premium de ETD a Chronicle, configura la opción Exportar los resultados de Security Command Center Premium a Chronicle como habilitada.

Habilita los resultados de Security Command Center Premium.

Inhabilita la transferencia de telemetría de GCP

  1. Marca la casilla Quiero desconectar Chronicle y dejar de enviar registros de Google Cloud a Chronicle.

  2. Haz clic en Desconectar Chronicle.

    Desconecta Chronicle.

¿Qué sigue?

  • Abre tu cuenta de Chronicle con la URL específica del cliente que te proporciona tu representante de Chronicle.
  • Obtén más información sobre Chronicle.