Importa i dati di Google Cloud

Questa pagina descrive come attivare e disattivare l'importazione di dati in Google Security Operations. Google Cloud In questo modo puoi archiviare, cercare ed esaminare le informazioni di sicurezza aggregate per la tua azienda, anche per mesi o periodi più lunghi, in conformità al periodo di conservazione dei dati.

Panoramica

Esistono due opzioni per inviare i dati Google Cloud a Google SecOps. La scelta dell'opzione giusta dipende dal tipo di log.

Opzione 1: importazione diretta

In Google Cloud può essere configurato un filtro Cloud Logging speciale per inviare tipi di log specifici a Google SecOps in tempo reale. Questi log vengono generati dai servizi Google Cloud . I log vengono raccolti a partire dal momento in cui viene configurato il filtro. I log generati prima della configurazione non sono inclusi. Questo inoltro in tempo reale si applica a Cloud Logging, ai metadati di Cloud Asset e ai risultati di Security Command Center Premium.

Utilizza questo metodo per i log ad alto volume come VPC Flow e DNS. Questo percorso è ottimizzato per la velocità e non richiede configurazioni aggiuntive nella console Google Cloud .

Google Security Operations acquisisce solo i tipi di log supportati. I tipi di log disponibili includono:

• Cloud Audit Logs
• Cloud NAT
• Cloud DNS
• Cloud Next Generation Firewall
• Cloud Intrusion Detection System
• Cloud Load Balancing
• Cloud SQL
• Log eventi di Windows
• Syslog Linux
• Linux Sysmon
• Zeek
• Google Kubernetes Engine
• Audit Daemon (auditd)
• Apigee
• reCAPTCHA Enterprise
• Log di Cloud Run (GCP_RUN)
• Google Cloud Provvedimenti per comportamento illecito
• Google Cloud DNS Advanced Threat Detection (GCP_DNS_ATD)
• Log di Model Armor

Per informazioni dettagliate sui filtri dei log specifici e su altri dettagli sull'importazione, vedi Esportare i log Google Cloud in Google SecOps.

Puoi anche inviare Google Cloud i metadati della risorsa utilizzati per l'arricchimento del contesto. Per maggiori dettagli, vedi Esportare i metadati della risorsa Google Cloud in Google SecOps.

Opzione 2: Google Cloud Storage

Cloud Logging può instradare i log a Cloud Storage da Google SecOps in base a una pianificazione.

Utilizza questa opzione se devi filtrare i log prima che raggiungano Google SecOps. In questo modo puoi applicare filtri di esclusione delle espressioni regolari in modo che solo i log pertinenti alla sicurezza vengano conteggiati ai fini della quota, il che può contribuire a ridurre i costi.

Per informazioni dettagliate su come configurare Cloud Storage per Google SecOps, consulta Gestione dei feed: Cloud Storage.

Prima di iniziare

Prima di poter importare Google Cloud i dati in un'istanza di Google SecOps, devi completare i seguenti passaggi:

1. Concedi i seguenti ruoli IAM (Identity and Access Management) a livello organizzativo per accedere alla sezione Google SecOps:

   • Amministratore del servizio Chronicle (roles/chroniclesm.admin): ruolo IAM per eseguire tutte le attività.
   • Visualizzatore servizi Chronicle (roles/chroniclesm.viewer): ruolo IAM per visualizzare solo lo stato dell'importazione.
   • Editor amministratore del Centro sicurezza (roles/securitycenter.adminEditor): necessario per abilitare l'importazione dei metadati di Cloud Asset.

2. Se prevedi di abilitare Cloud Asset Metadata, devi eseguire l'onboarding dell'organizzazione in Security Command Center. Per saperne di più, consulta la Panoramica dell'attivazione a livello di organizzazione.

Concedi ruoli IAM

Puoi concedere i ruoli IAM richiesti utilizzando la console Google Cloud o gcloud CLI.

Per concedere ruoli IAM utilizzando la console Google Cloud , completa i seguenti passaggi:

1. Accedi all'organizzazione Google Cloud a cui vuoi connetterti e vai alla schermata IAM utilizzando Prodotti > IAM e amministrazione > IAM.

2. Nella schermata IAM, seleziona l'utente e fai clic su Modifica membro.

3. Nella schermata Modifica autorizzazioni, fai clic su Aggiungi un altro ruolo e cerca Google SecOps per trovare i ruoli IAM.

4. Dopo aver assegnato i ruoli, fai clic su Salva.

Per concedere ruoli IAM utilizzando Google Cloud CLI, completa i seguenti passaggi:

1. Esegui gcloud init per verificare di aver eseguito l'accesso all'organizzazione e al progetto corretti.

2. Per concedere il ruolo IAM Amministratore di servizio Chronicle utilizzando gcloud, esegui il seguente comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.admin
   

   Sostituisci quanto segue:

   • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
   • USER_EMAIL: l'indirizzo email dell'utente.

3. Per concedere il ruolo IAM Visualizzatore servizi Chronicle utilizzando gcloud, esegui questo comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/chroniclesm.viewer
   

4. Per concedere il ruolo IAM Editor amministratore di Centro sicurezza utilizzando gcloud, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/securitycenter.adminEditor`
   

5. Per concedere il ruolo IAM Visualizzatore ruoli organizzazione utilizzando gcloud, esegui questo comando:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
   --member "user:USER_EMAIL" \
   --role roles/iam.organizationRoleViewer
   

Abilita l'importazione diretta da Google Cloud

I passaggi per abilitare l'importazione diretta da Google Cloud variano a seconda della proprietà del progetto a cui è associata l'istanza Google SecOps.

• Se è associato a un progetto di tua proprietà e gestione, segui i passaggi descritti in Configura l'importazione quando il progetto è di proprietà del cliente. Questo approccio ti consente di configurare l'importazione dati da più di un'organizzazione. Google Cloud

• Se è associato a un progetto di proprietà e gestito da Google Cloud , segui i passaggi descritti in Configurare l'importazione per un progetto gestito da Google.

Dopo aver configurato l'importazione diretta, i tuoi dati Google Cloud vengono inviati a Google SecOps. Puoi utilizzare le funzionalità di analisi di Google SecOps per esaminare i problemi relativi alla sicurezza.

Configurare l'importazione quando il progetto è di proprietà del cliente

Segui questi passaggi se possiedi il progetto Google Cloud .

Puoi configurare l'importazione diretta da più organizzazioni utilizzando la stessa pagina di configurazione a livello di progetto. Per creare una nuova configurazione e modificarne una esistente, segui questi passaggi.

Quando esegui la migrazione di un'istanza Google SecOps esistente in modo che venga associata a un progetto di tua proprietà e se l'importazione diretta è stata configurata prima della migrazione, viene eseguita anche la migrazione della configurazione dell'importazione diretta.

1. Vai alla pagina Google SecOps > Impostazioni di importazione nella console Google Cloud .
   Vai alla pagina Google SecOps
2. Seleziona il progetto associato alla tua istanza Google SecOps.

3. Nel menu Organizzazione, seleziona l'organizzazione da cui verranno esportati i log. Il menu mostra le organizzazioni a cui hai l'autorizzazione di accedere. L'elenco può includere organizzazioni non collegate all'istanza Google SecOps. Non puoi configurare un'organizzazione che invia dati a un'altra istanza Google SecOps.

   

4. Nella sezione Impostazione di importazione di Google Cloud, fai clic sul pulsante di attivazione/disattivazione Invio di dati a Google Security Operations per consentire l'invio dei log a Google SecOps.

5. Seleziona una o più delle seguenti opzioni per definire il tipo di dati inviati a Google SecOps:

   • Google Cloud Logging: per saperne di più su questa opzione, consulta Esportare i log Google Cloud .
   • Metadati delle risorse cloud: per saperne di più su questa opzione, consulta Esportare i metadati delle risorse. Google Cloud
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

6. Nella sezione Impostazioni dei filtri di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta tipi di logGoogle Cloud supportati per l'esportazione.

7. Per importare i log da un'altra organizzazione nella stessa istanza di Google SecOps, seleziona l'organizzazione dal menu Organizzazione e poi ripeti i passaggi per definire il tipo di dati da esportare e i filtri di esportazione. Vedrai più organizzazioni elencate nel menu Organizzazione.

8. Per esportare i dati di Sensitive Data Protection (in precedenza chiamati dati di Google Cloud Data Loss Prevention) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Configura l'importazione per un progetto gestito da Google

Se Google Cloud è proprietario del progetto, procedi nel seguente modo per configurare l'importazione diretta dalla tua organizzazione Google Cloud nell'istanza di Google SecOps:

1. Vai alla scheda Google SecOps > Panoramica > Importazione nella console Google Cloud . Vai alla scheda Importazione di Google SecOps
2. Fai clic sul pulsante Gestisci impostazioni di importazione dell'organizzazione.
3. Se viene visualizzato il messaggio Pagina non visualizzabile per i progetti, seleziona un'organizzazione e fai clic su Seleziona.
4. Inserisci il codice di accesso una tantum nel campo Codice di accesso una tantum a Google SecOps.
5. Seleziona la casella Accetto i termini e le condizioni di Google SecOps relativi all'utilizzo dei miei Google Cloud dati.
6. Fai clic su Connetti Google SecOps.
7. Vai alla scheda Impostazioni di importazione globali per l'organizzazione.

8. Seleziona il tipo di dati da inviare attivando una o più delle seguenti opzioni:

   • Google Cloud Logging: per saperne di più su questa opzione, consulta Esportazione dei log. Google Cloud
   • Metadati di Cloud Asset. Per saperne di più su questa opzione, vedi Esportare Google Cloud i metadati delle risorse.
   • Risultati di Security Center Premium: per saperne di più su questa opzione, vedi Esportare i risultati di Security Center Premium.

9. Vai alla scheda Impostazioni filtro esportazione.

10. Nella sezione Impostazioni dei filtri di esportazione dei clienti, configura i filtri di esportazione per personalizzare i dati di Cloud Logging inviati a Google SecOps. Consulta tipi di logGoogle Cloud supportati per l'esportazione.

11. Per esportare i dati di Sensitive Data Protection (in precedenza chiamati dati di Google Cloud Data Loss Prevention) in Google SecOps, consulta Esportare i dati di Sensitive Data Protection.

Esporta log Google Cloud

Dopo aver attivato Cloud Logging, puoi esportare i dati dei log per i tipi di logGoogle Cloud supportati nell'istanza Google SecOps.

Per esportare i Google Cloud log in Google SecOps, imposta il pulsante di attivazione/disattivazione Abilita log di Cloud su Attivato.

Tipi di log supportati per l'esportazione

Puoi personalizzare il filtro di esportazione dei log da esportare in Google SecOps. Includi o escludi i tipi di log aggiungendo o rimuovendo i filtri di esportazione supportati, elencati in questa sezione.

Puoi esportare i seguenti tipi di log Google Cloud nella tua istanza Google SecOps. Il seguente elenco è organizzato in base al tipo di log e alla relativa etichetta di importazione di Google SecOps:

• Audit log di Cloud (GCP_CLOUDAUDIT):

  Sono inclusi i log Attività di amministrazione, Accesso ai dati, Evento di sistema, Access Transparency e Policy negata.

  • log_id("cloudaudit.googleapis.com/activity") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/system_event") (esportato dal filtro predefinito)
  • log_id("cloudaudit.googleapis.com/policy")
  • log_id("cloudaudit.googleapis.com/access_transparency")

• Log di Cloud NAT (GCP_CLOUD_NAT):

  • log_id("compute.googleapis.com/nat_flows")

• Log di Cloud DNS (GCP_DNS):

  • log_id("dns.googleapis.com/dns_queries") (esportato dal filtro predefinito)

• Logging delle regole della policy del firewall (GCP_FIREWALL):

  • log_id("compute.googleapis.com/firewall")

• GCP_IDS:

  • log_id("ids.googleapis.com/threat")
  • log_id("ids.googleapis.com/traffic")

• GCP_LOADBALANCING:

  Sono inclusi i log di Google Cloud Armor e Cloud Load Balancing (sia esterno che interno).

  • log_id("requests")
  • log_id("loadbalancing.googleapis.com/requests")

• GCP_CLOUDSQL:

  • log_id("cloudsql.googleapis.com/mysql-general.log")
  • log_id("cloudsql.googleapis.com/mysql.err")
  • log_id("cloudsql.googleapis.com/postgres.log")
  • log_id("cloudsql.googleapis.com/sqlagent.out")
  • log_id("cloudsql.googleapis.com/sqlserver.err")

• GCP_VPC_FLOW:

  • log_id("compute.googleapis.com/vpc_flows") (solo per le regioni di Stati Uniti e UE)

• NIX_SYSTEM:

  • log_id("syslog")
  • log_id("authlog")
  • log_id("securelog")
  • log_id("osconfig.googleapis.com/patch_job")

• LINUX_SYSMON:

  • log_id("sysmon.raw")

• WINEVTLOG:

  • log_id("winevt.raw")
  • log_id("windows_event_log")

• BRO_JSON:

  • log_id("zeek_json_streaming_conn")
  • log_id("zeek_json_streaming_dhcp")
  • log_id("zeek_json_streaming_dns")
  • log_id("zeek_json_streaming_http")
  • log_id("zeek_json_streaming_ssh")
  • log_id("zeek_json_streaming_ssl")

• KUBERNETES_NODE:

  • log_id("events")
  • log_id("stdout")
  • log_id("stderr")

• AUDITD:

  • log_id("audit_log")

• GCP_APIGEE_X:

  • log_id("apigee.googleapis.com/ingress_instance")
  • log_id("apigee.googleapis.com")
  • log_id("apigee-logs")
  • log_id("apigee")
  • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

• GCP_RECAPTCHA_ENTERPRISE:

  • log_id("recaptchaenterprise.googleapis.com/assessment")
  • log_id("recaptchaenterprise.googleapis.com/annotation")

• GCP_RUN:

  • log_id("run.googleapis.com/stderr")
  • log_id("run.googleapis.com/stdout")
  • log_id("run.googleapis.com/requests")
  • log_id("run.googleapis.com/varlog/system")

• GCP_NGFW_ENTERPRISE:

  • log_id("networksecurity.googleapis.com/firewall_threat")

• GCP_ABUSE_EVENTS:

  • log_id("abuseevent.googleapis.com/abuse_events")

• GCP_DNS_ATD

  • log_id("networksecurity.googleapis.com/dns_threat_events")

• Log di Model Armor (GCP_MODEL_ARMOR):

  Sono inclusi i log per le operazioni di sanificazione (richieste e risposte di screening) e le operazioni sui modelli (creazione, aggiornamenti).

  • log_id("modelarmor.googleapis.com/sanitize_operations")
  • log_id("modelarmor.googleapis.com/templates")

Personalizzare le impostazioni del filtro di esportazione

Per impostazione predefinita, Cloud Audit Logs (attività di amministrazione ed eventi di sistema) e di Cloud DNS vengono inviati all'istanza Google SecOps. Tuttavia, puoi personalizzare il filtro di esportazione per includere o escludere tipi specifici di log.

Per definire un filtro personalizzato per i log:

1. Identifica i log per il filtro personalizzato utilizzando lo strumento di definizione dell'ambito dei log.

2. Nella sezione Filtro log generato automaticamente che segue lo strumento di definizione dell'ambito dei log, copia il codice del filtro log personalizzato generato.

3. Vai alla pagina Google SecOps nella console Google Cloud e seleziona un progetto.
   Vai alla pagina Google SecOps
   

4. Avvia Esplora log utilizzando il link nella scheda Esporta impostazioni filtro.

5. Copia la nuova query nel campo Query e fai clic su Esegui query per testarla.

6. Copia la nuova query nel campo Query di Esplora log e poi fai clic su Esegui query per testarla.

7. Verifica che i log corrispondenti visualizzati in Esplora log siano esattamente quelli che intendi esportare in Google SecOps. Quando il filtro è pronto, copialo nella sezione Impostazioni filtro di esportazione personalizzato per Google SecOps.

8. Torna alla sezione Impostazioni del filtro di esportazione personalizzato nella pagina Google SecOps.

9. Fai clic sull'icona Modifica nel campo Filtro di esportazione, quindi incolla il filtro copiato nel campo.

10. Fai clic su Salva.

    • Se viene visualizzato il seguente messaggio di errore: "Il filtro fornito potrebbe consentire tipi di log non supportati", è possibile che nel filtro di esportazione sia incluso un tipo di log non supportato. Rimuovi il tipo di log non supportato dal filtro di esportazione. Includi solo i tipi di log elencati in: Google Cloud tipi di log supportati per l'esportazione.

    • Se il salvataggio va a buon fine, il nuovo filtro personalizzato viene applicato a tutti i nuovi log esportati nell'istanza Google SecOps.

    • (Facoltativo) Per reimpostare il filtro di esportazione sulla versione predefinita, salva una copia del filtro personalizzato, quindi fai clic su Reimposta su predefinito.

Ottimizzare i filtri di Cloud Audit Logs

I log di accesso ai dati scritti da Cloud Audit Logs possono produrre un volume elevato di dati senza molto valore per il rilevamento delle minacce. Se scegli di inviare questi log a Google SecOps, devi filtrare i log generati da attività di routine.

Il seguente filtro di esportazione acquisisce i log di accesso ai dati ed esclude gli eventi ad alto volume, come le operazioni di lettura ed elenco di Cloud Storage e Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select"  
  AND NOT protoPayload.methodName =~ "^google\.spanner\.v1\.Spanner\.(ExecuteStreamingSql|BeginTransaction|Commit)$" )

Per saperne di più sull'ottimizzazione dei log degli accessi ai dati generati da Cloud Audit Logs, consulta Gestire il volume degli audit log di accesso ai dati.

Esempi di filtri di esportazione

I seguenti esempi di filtri di esportazione illustrano come includere o escludere determinati tipi di log dall'esportazione nell'istanza Google SecOps.

Esempio di filtro di esportazione: includi tipi di log aggiuntivi

Il seguente filtro di esportazione esporta i log di Access Transparency oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Esempio di filtro di esportazione: includi log aggiuntivi di un progetto specifico

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da un progetto specifico, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: includi log aggiuntivi da una cartella specifica

Il seguente filtro di esportazione esporta i log di trasparenza degli accessi da una cartella specifica, oltre ai log predefiniti:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Esempio di filtro di esportazione: escludere i log di un progetto specifico

Il seguente filtro di esportazione esporta i log predefiniti dell'intera organizzazione Google Cloud , ad eccezione di un progetto specifico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Esportare i metadati della risorsa Google Cloud

Puoi esportare i metadati delle risorse da Cloud Asset Inventory a Google SecOps. Google Cloud Questi metadati della risorsa vengono estratti da Cloud Asset Inventory e sono costituiti da informazioni sui tuoi asset, risorse e identità, tra cui:

• Ambiente
• Località
• Zona
• Modelli hardware
• Relazioni di controllo dell'accesso tra risorse e identità

I seguenti tipi di Google Cloud metadati degli asset verranno esportati nell'istanza Google SecOps:

• GCP_BIGQUERY_CONTEXT
• GCP_COMPUTE_CONTEXT
• GCP_IAM_CONTEXT
• GCP_IAM_ANALYSIS
• GCP_STORAGE_CONTEXT
• GCP_CLOUD_FUNCTIONS_CONTEXT
• GCP_SQL_CONTEXT
• GCP_NETWORK_CONNECTIVITY_CONTEXT
• GCP_RESOURCE_MANAGER_CONTEXT

Di seguito sono riportati alcuni esempi di metadati delle risorse Google Cloud :

• Nome applicazione: Google-iamSample/0.1
• Nome progetto: projects/my-project

Per esportare i metadati delle risorse Google Cloud in Google SecOps, imposta il pulsante di attivazione/disattivazione Metadati di Cloud Asset su Attivato.

Per ulteriori informazioni sull'esportazione di log di contesto specifici e sul loro inserimento in Google SecOps, consulta Configurazione e inserimento del parser predefinito e cerca "contesto" o "analisi".

Esportare i risultati di Security Command Center

Puoi esportare i risultati di Event Threat Detection di Security Command Center Premium e tutti gli altri risultati in Google SecOps.

Google SecOps supporta le seguenti classi di risultati di Security Command Center:

• ERROR
• MISCONFIGURATION
• OBSERVATION
• POSITIVE_VALIDATION
• POSTURE_VIOLATION
• THREAT
• TOXIC_COMBINATION
• UNSPECIFIED
• VULNERABILITY

Per ulteriori informazioni sui risultati di ETD, consulta la panoramica di Event Threat Detection.

Per esportare i risultati di Security Command Center Premium in Google SecOps, imposta il pulsante di attivazione/disattivazione Risultati di Security Command Center Premium su Attivato. Per esportare i risultati Premium in Google SecOps, devi aver abilitato Security Command Center Premium a livello di organizzazione.

Risoluzione dei problemi relativi ai risultati di Security Command Center

L'importazione dei logGoogle Cloud si interrompe se vengono apportate modifiche alla licenza Security Command Center Premium della tua organizzazione. Ciò può verificarsi in caso di downgrade del livello di Security Command Center, dopo la scadenza di una prova o a causa di altre modifiche alla licenza, causando la disattivazione automatica dell'importazione dei log da parte di Google SecOps. Google Cloud L'impatto è l'interruzione immediata dell'importazione dei log dalle origini Google Cloud configurate, con conseguente lacuna di visibilità. Tieni presente che i log generati mentre l'importazione è disattivata non possono essere raccolti retroattivamente. Per risolvere il problema e riprendere l'importazione dei log, devi riattivare manualmente l'esportazione dei log nelle impostazioni, assicurandoti di applicare i filtri di esportazione pertinenti: Google Cloud Google Cloud

1. Vai a Impostazioni SIEM nell'istanza Google SecOps.
2. Nel menu a sinistra, seleziona Importazione GCP.
3. Esamina l'elenco delle origini log dei tuoi progetti, delle tue cartelle o della tua organizzazione. Google Cloud
4. Attiva di nuovo una delle fonti disattivate facendo clic su Attiva.
5. Attendi qualche minuto affinché la connessione venga ristabilita. Puoi verificare che l'importazione sia ripresa cercando nuovi log nella ricerca.

Esportare i dati di Sensitive Data Protection

Puoi esportare i tuoi dati di Sensitive Data Protection in Google SecOps.

Per importare i metadati della risorsa di Sensitive Data Protection (DLP_CONTEXT):

1. Attiva l' Google Cloud importazione dei dati completando la sezione precedente di questo documento.
2. Configura Sensitive Data Protection per profilare i dati.
3. Imposta la configurazione della scansione in modo da pubblicare i profili di dati in Google SecOps.

Per informazioni dettagliate sulla creazione di profili di dati per i dati BigQuery, consulta la documentazione di Sensitive Data Protection.

Disabilita l'importazione dei dati di Google Cloud

I passaggi per disattivare l'importazione diretta dei dati da Google Cloud variano a seconda della configurazione di Google SecOps. Scegli una delle opzioni seguenti:

• Se la tua istanza Google SecOps è associata a un progetto di tua proprietà e che gestisci, esegui i seguenti passaggi:

  1. Seleziona il progetto associato alla tua istanza Google SecOps.
  2. Nella console Google Cloud , vai alla scheda Importazione in Google SecOps.
     Vai alla pagina Google SecOps
  3. Nel menu Organizzazione, seleziona l'organizzazione da cui vengono esportati i log.
  4. Imposta l'opzione di attivazione/disattivazione Invio di dati a Google Security Operations su Disattivata.
  5. Se hai configurato l'esportazione dei dati da più organizzazioni e vuoi disattivarle, segui questi passaggi per ogni organizzazione.

• Se la tua istanza Google SecOps è associata a un progetto di cui Google Cloud è proprietario e che gestisce, segui questi passaggi:

  1. Vai alla pagina Google SecOps > Inserimento nella console Google Cloud .
     Vai alla pagina Google SecOps
  2. Nel menu delle risorse, seleziona l'organizzazione associata alla tua istanza di Google SecOps e da cui stai importando i dati.
  3. Seleziona la casella Voglio disconnettermi da Google SecOps e interrompere l'invio dei log in Google SecOps. Google Cloud
  4. Fai clic su Disconnetti Google SecOps.

Controllare la velocità di importazione

Quando la velocità di importazione dati per un tenant raggiunge una determinata soglia, Google Security Operations limita la velocità di importazione per i nuovi feed di dati per impedire che un'origine con una velocità di importazione elevata influisca sulla velocità di importazione di un'altra origine dati. In questo caso, si verifica un ritardo, ma non vengono persi dati. Il volume di importazione e la cronologia di utilizzo del tenant determinano la soglia.

Puoi richiedere un aumento del limite di frequenza contattando l'assistenza clienti Google Cloud.

Risoluzione dei problemi

• Se le relazioni tra risorse e identità non sono presenti nell'istanza Google SecOps, disattiva e riattiva l'importazione diretta dei dati di log in Google SecOps.
• I metadati delle risorseGoogle Cloud vengono importati periodicamente in Google SecOps. Attendi diverse ore prima che le modifiche vengano visualizzate nelle API e nella UI di Google SecOps.

• Quando aggiungi un tipo di log al filtro di esportazione, potresti visualizzare il messaggio "Il filtro fornito potrebbe consentire tipi di log non supportati".

  Soluzione alternativa: includi nel filtro di esportazione solo i tipi di log visualizzati nel seguente elenco: tipi di logGoogle Cloud supportati per l'esportazione.

Passaggi successivi

• Apri l'istanza di Google SecOps utilizzando l'URL specifico del cliente fornito dal tuo rappresentante Google SecOps.
• Scopri di più su Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.