Configurar y gestionar flujos de procesamiento de datos

Disponible en:

La función Procesamiento de datos te ofrece un control sólido y previo al análisis sobre la ingestión de datos de Google Security Operations. Puede filtrar eventos, transformar campos u ocultar valores sensibles para optimizar la compatibilidad de los datos, reducir los costes y proteger la información sensible en Google SecOps.

En este documento se explica todo el flujo de trabajo de ingestión y procesamiento de datos mediante la consola de Bindplane. Por lo tanto, puedes aprender a hacer lo siguiente:

  • Configura la conexión con una instancia de destino de Google SecOps.
  • Crea una canalización de Google SecOps.
  • Configura el tratamiento de datos, incluidos los flujos y los procesadores.
  • Implementa el flujo de procesamiento para iniciar la ingestión y el procesamiento de datos.
  • Monitoriza los flujos y procesadores de la canalización en la consola de Google SecOps.

Puedes configurar el tratamiento de datos tanto para los flujos de datos locales como para los de la nube. Para ello, puedes usar la consola de gestión de Bindplane o directamente las APIs públicas de la canalización de datos de Google SecOps.

El tratamiento de datos consta de los siguientes elementos:

  • Flujos: uno o varios flujos insertan datos en la canalización de procesamiento de datos. Cada flujo se configura para un tipo de flujo específico.
  • Nodo de procesador: el procesamiento de datos tiene un nodo de procesador que contiene uno o varios procesadores. Cada procesador especifica una acción que se debe realizar en los datos (por ejemplo, filtrar, transformar y ocultar) a medida que fluyen por la canalización.
  • Destino: la instancia de destino de Google SecOps es el lugar al que se envían los datos procesados.

Casos prácticos

Estos son algunos ejemplos de casos prácticos:

  • Elimina los pares clave-valor vacíos de los registros sin procesar.
  • Oculta los datos sensibles.
  • Añade etiquetas de ingesta a partir del contenido de los registros sin procesar.
  • En entornos de varias instancias, aplica etiquetas de ingesta a los datos de registro de ingesta directa para identificar la instancia de flujo de origen (por ejemplo,Google Cloud Workspace).
  • Filtrar datos de Palo Alto Cortex por valores de campo.
  • Reducir los datos de SentinelOne por categoría.
  • Extrae información de host de los feeds y los registros de ingestión directa, y asígnala al campo ingestion_source de Cloud Monitoring.

Requisitos previos

Si tienes previsto usar la consola de Bindplane para gestionar el procesamiento de datos de Google SecOps, sigue estos pasos:

  1. En la consola de Google Security Operations, concede al instalador los roles de administrador predefinidos necesarios. Para obtener más información, consulta Asignar el rol de administrador de IAM de proyecto en un proyecto específico.

  2. En Asignar roles, selecciona los siguientes roles de gestión de identidades y accesos predefinidos:

    • Administrador de APIs de Chronicle (roles/chronicle.admin)

  3. Instala la consola del servidor de Bindplane. Si se trata de una solución SaaS o local, consulta Instalar la consola del servidor Bindplane.

  4. En la consola de Bindplane, conecta una instancia de destino de Google SecOps a tu proyecto de Bindplane. Para obtener más información, consulta Conectarse a una instancia de Google SecOps.

Gestionar los retrasos en la confirmación de datos de SecOps de bajo volumen

Los usuarios de la API Ingestion que configuren su propio agente pueden experimentar un posible aumento del tiempo de confirmación de los flujos de procesamiento de datos de SecOps de bajo volumen.

La latencia media puede aumentar de 700 ms a 2 segundos. Aumenta los periodos de tiempo de espera y la memoria según sea necesario. El tiempo de confirmación se reduce cuando el rendimiento de los datos supera los 4 MB.

Conectarse a una instancia de Google SecOps

Antes de empezar, confirma que tienes permisos de administrador de proyectos de Bindplane para acceder a la página Integraciones del proyecto.

La instancia de Google SecOps sirve como destino de los datos de salida.

Para conectarte a una instancia de Google SecOps mediante la consola de Bindplane, haz lo siguiente:

  1. En la consola de Bindplane, ve a la página Gestionar tu proyecto.
  2. Ve a la tarjeta Integraciones y haz clic en Conectar con Google SecOps para abrir la ventana Editar integración.

  3. Introduce los detalles de la instancia de destino de Google SecOps.
    Esta instancia ingiere los datos procesados (la salida del procesamiento de datos) de la siguiente manera:

    Campo Descripción
    Region Región de tu instancia de Google SecOps.
    Para encontrar la instancia en la Google Cloud consola, ve a Seguridad > Detecciones y controles > Google Security Operations > Detalles de la instancia.
    ID de cliente ID de cliente de tu instancia de Google SecOps.

    En la consola de Google SecOps, vaya a Configuración de SIEM > Perfil > Detalles de la organización.
    Google Cloud número de proyecto Google Cloud Número de proyecto de tu instancia de Google SecOps.

    Para encontrar el número de proyecto en la consola de Google SecOps, vaya a Configuración de SIEM > Perfil > Detalles de la organización.
    Credenciales Las credenciales de la cuenta de servicio son el valor JSON necesario para autenticar y acceder a las APIs de Google SecOps Data Pipeline. Obtén este valor JSON del archivo de credenciales de la cuenta de servicio de Google.

    La cuenta de servicio debe estar ubicada en el mismo Google Cloud proyecto que tu instancia de Google SecOps y requiere los privilegios del rol de administrador de la API Chronicle (roles/chronicle.admin).

    Para obtener información sobre cómo crear una cuenta de servicio y descargar el archivo JSON, consulta el artículo Crear y eliminar claves de cuentas de servicio.

  4. Haz clic en Conectar. Si los detalles de tu conexión son correctos y te conectas correctamente a Google SecOps, ocurrirá lo siguiente:

    • Se abrirá una conexión a la instancia de Google SecOps.
    • La primera vez que te conectes, aparecerá SecOps Pipelines en la consola de Bindplane.
    • La consola de Bindplane muestra los datos procesados que hayas configurado previamente para esta instancia mediante la API. El sistema convierte algunos de los procesadores que has configurado mediante la API en procesadores de Bindplane y muestra otros en formato sin formato de OpenTelemetry Transformation Language (OTTL). Puedes usar la consola de Bindplane para editar las canalizaciones y los procesadores que hayas configurado previamente con la API.

  5. Una vez que hayas creado correctamente una conexión a una instancia de Google SecOps, podrás crear una canalización de SecOps y configurar el tratamiento de datos mediante la consola de Bindplane.

Configurar el tratamiento de datos con la consola de Bindplane

Con la consola de Bindplane, puedes gestionar los datos procesados de Google SecOps, incluida la configuración de las canalizaciones mediante la API.

Antes de empezar

Antes de empezar, te recomendamos que leas estas recomendaciones importantes:

  • Los flujos basados en push que llaman a la API Backstory están obsoletos y ya no admiten el procesamiento de datos. Migra tus integraciones para usar la API Ingestion de Chronicle.
  • Para instalar la consola de Bindplane por primera vez o conectar una instancia de destino de Google SecOps a tu proyecto de Bindplane, consulta los requisitos previos.
  • Como alternativa a la consola de Bindplane, puedes llamar directamente a las APIs de Google SecOps para configurar y gestionar el tratamiento de datos. Para obtener más información, consulta el artículo Usar las APIs de la canalización de datos de Google SecOps.
  • Los datos ingeridos de los reenviadores y Bindplane se etiquetan con un collectorID distinto de los flujos de ingestión directa. Para que se muestren todos los registros, debes seleccionar todos los métodos de ingestión al consultar fuentes de datos o hacer referencia explícita al collectorID pertinente al interactuar con la API.

Sigue estos pasos para aprovisionar e implementar una nueva canalización de procesamiento de registros en Google SecOps, normalmente mediante la consola de Bindplane:

  1. Crea un nuevo flujo de trabajo de SecOps.
  2. Configurar el tratamiento de datos
    1. Configurar las emisiones.
    2. Configurar procesadores.
  3. Implementa un flujo de procesamiento de datos.

Crear una canalización de Google SecOps

Un flujo de Google SecOps es un contenedor que te permite configurar un contenedor de tratamiento de datos. Para crear un contenedor de canalización de Google SecOps, sigue estos pasos:

  1. En la consola de Bindplane, haz clic en la pestaña SecOps Pipelines (Pipelines de SecOps) para abrir la página SecOps Pipelines.
  2. Haz clic en Create SecOps Pipeline (Crear una canalización de SecOps).
  3. En la ventana Create new SecOps Pipeline (Crear nuevo flujo de SecOps), selecciona Google SecOps (predeterminado) en SecOps Pipeline type (Tipo de flujo de SecOps).

  4. Escribe un nombre de la canalización de SecOps y una descripción.

  5. Haz clic en Crear. Puedes ver el nuevo contenedor de la canalización en la página Canalizaciones de SecOps.

  6. Configura los flujos y procesadores del contenedor de procesamiento de datos.

Configurar un contenedor de tratamiento de datos

Un contenedor de tratamiento de datos especifica los flujos de datos que se van a ingerir y los procesadores (por ejemplo, filtros, transformaciones o redacciones) que se van a usar para manipular los datos a medida que fluyen hacia la instancia de destino de Google SecOps.

Una tarjeta de configuración de pipeline es una visualización del pipeline de procesamiento de datos en la que puede configurar los flujos de datos y el nodo de procesador:

  • Un flujo ingiere datos según las especificaciones configuradas y los introduce en el contenedor. Un contenedor de procesamiento de datos puede tener uno o varios flujos, cada uno de ellos configurado para un flujo diferente.
  • El nodo de procesador consta de procesadores que manipulan los datos a medida que fluyen a la instancia Destino de Google SecOps.

Para configurar un contenedor de tratamiento de datos, siga estos pasos:

  1. Crea una nueva canalización de SecOps.
  2. En la consola de Bindplane, haz clic en la pestaña SecOps Pipelines (Pipelines de SecOps) para abrir la página SecOps Pipelines.
  3. Selecciona la canalización de SecOps en la que quieras configurar el nuevo contenedor de tratamiento de datos.

  4. En la tarjeta de configuración Pipeline:

    1. Añada un flujo.
    2. Configura el nodo de procesador. Para añadir un procesador mediante la consola de Bindplane, consulta Configurar procesadores.

  5. Una vez que haya completado estas configuraciones, consulte Implementar el tratamiento de datos para empezar a procesar los datos.

Añadir un flujo

Para añadir un stream, sigue estos pasos:

  1. En la tarjeta de configuración Pipeline (Proceso), haz clic en añadir Add Stream (Añadir flujo) para abrir la ventana Create Stream (Crear flujo).

  2. En la ventana Create SecOps Stream (Crear flujo de SecOps), introduce los detalles de estos campos:

    Campo Descripción
    Tipo de registro Seleccione el tipo de registro de los datos que quiera ingerir. Por ejemplo, CrowdStrike Falcon (CS_EDR).
    Nota: El icono de advertencia indica que el tipo de registro ya está configurado en otro flujo (ya sea en esta canalización o en otra canalización de tu instancia de Google SecOps).

    Para usar un tipo de registro que no está disponible, primero debes eliminarlo de la otra configuración de flujo.

    Para obtener instrucciones sobre cómo encontrar la configuración del flujo en la que se configura el tipo de registro, consulta Filtrar configuraciones de la canalización de SecOps.
    Método de ingestión Seleccione el método de ingesta que quiera usar para ingerir los datos del tipo de registro seleccionado. Estos métodos de ingesta se definieron anteriormente para tu instancia de Google SecOps.

    Debes seleccionar una de las siguientes opciones:

    • Todos los métodos de ingesta: incluye todos los métodos de ingesta del tipo de registro seleccionado. Si seleccionas esta opción, no podrás añadir más flujos que usen métodos de ingestión específicos para ese mismo tipo de registro. Excepción: Puedes seleccionar otros métodos de ingestión específicos sin configurar para este tipo de registro en otras secuencias.
    • Método de ingestión específico, como Cloud Native Ingestion, Feed, Ingestion API o Workspace.
    Feed Si selecciona Feed como método de ingestión, aparecerá un campo con una lista de nombres de feeds disponibles (preconfigurados en su instancia de Google SecOps) para el tipo de registro seleccionado. Debe seleccionar el feed correspondiente para completar la configuración. Para ver y gestionar los feeds disponibles, vaya a Configuración de SIEM > Tabla de feeds.

  3. Haga clic en Añadir flujo para guardar el nuevo flujo.El nuevo flujo de datos aparecerá inmediatamente en la tarjeta de configuración Pipeline. El flujo se conecta automáticamente al nodo de procesador y al destino de Google SecOps.

Filtrar configuraciones de SecOps Pipeline

La barra de búsqueda de la página Pipelines de SecOps te permite filtrar y localizar tus pipelines de SecOps (contenedores de procesamiento de datos) en función de varios elementos de configuración. Puede filtrar las canalizaciones buscando criterios específicos, como el tipo de registro, el método de ingestión o el nombre del feed.

Utilice la siguiente sintaxis para filtrar:

  • logtype:value
  • ingestionmethod:value
  • feed:value

Por ejemplo, para identificar configuraciones de flujo que contengan un tipo de registro específico, en la barra de búsqueda, introduce logtype: y selecciona el tipo de registro de la lista resultante.

Configurar procesadores

Un contenedor de tratamiento de datos tiene un nodo de procesador, que contiene uno o varios procesadores. Cada procesador manipula los datos del flujo de forma secuencial:

  1. El primer procesador trata los datos de la transmisión sin procesar.
  2. El resultado del primer procesador se convierte inmediatamente en la entrada del siguiente procesador de la secuencia.
  3. Esta secuencia continúa para todos los procesadores posteriores, en el orden exacto en el que aparecen en el panel Procesadores, de modo que la salida de uno se convierte en la entrada del siguiente.

En la siguiente tabla se enumeran los procesadores:

Tipo de procesador Competencia
Filtro Filtrar por condición
Filtro Filtrar por estado HTTP
Filtro Filtrar por nombre de métrica
Filtro Filtra por expresión regular
Filtro Filtrar por gravedad
Ocultamiento Ocultar datos sensibles
Transformar Añadir campos
Transformar Coalesce
Transformar Concat
Transformar Copiar campo
Transformar Eliminar campos
Transformar Marshal
Transformar Mover campo
Transformar Analizar CSV
Transformar Analizar JSON
Transformar Analizar valor de clave
Transformar Analizar campos de gravedad
Transformar Analizar marca de tiempo
Transformar Analizar con regex
Transformar Analizar XML
Transformar Cambiar el nombre de los campos
Transformar Marca de tiempo de reescritura
Transformar Dividir
Transformar Transformar
  1. Configura el nodo de procesador añadiendo, quitando o cambiando la secuencia de uno o varios procesadores.

Añadir un procesador

Para añadir un procesador, sigue estos pasos:

  1. En la tarjeta de configuración Pipeline, haz clic en el nodo Processor para abrir la ventana Edit Processors (Editar procesadores). La ventana Editar procesadores se divide en estos paneles, ordenados por flujo de datos:

    • Entrada (o datos de origen): datos de registro de la secuencia entrante reciente (antes del procesamiento)
    • Configuración (o lista de procesadores): procesadores y sus configuraciones.
    • Salida (o resultados): datos de registro de resultados salientes recientes (después del procesamiento)

    Si el lanzamiento del flujo se ha realizado anteriormente, el sistema muestra los datos de registro entrantes recientes (antes del procesamiento) y los datos de registro salientes recientes (después del procesamiento) en los paneles.

  2. Haz clic en Añadir procesador para ver la lista de procesadores. Para tu comodidad, la lista de procesadores se agrupa por tipo de procesador. Para organizar la lista y añadir tus propios conjuntos, selecciona uno o varios procesadores y haz clic en Añadir nuevos conjuntos de procesadores.

  3. En la lista de procesadores, selecciona un Procesador para añadirlo.

  4. Configura el procesador según sea necesario.

  5. Haz clic en Guardar para guardar la configuración del procesador en el nodo Procesador.

El sistema prueba inmediatamente la nueva configuración procesando una muestra reciente de los datos del flujo entrante (del panel Entrada) y muestra los datos salientes resultantes en el panel Salida.

Implementar un flujo de procesamiento de datos

Una vez que haya completado las configuraciones de la secuencia y del procesador, debe implementar la canalización para empezar a procesar los datos. Para ello, siga estos pasos:

  1. Haz clic en Iniciar lanzamiento. De esta forma, se activa inmediatamente el procesamiento de datos y la infraestructura segura de Google empieza a procesar los datos según tu configuración.

  2. Si la implementación se realiza correctamente, el número de versión del contenedor de tratamiento de datos se incrementará y se mostrará junto al nombre del contenedor.

Ver los detalles del tratamiento de datos en la consola de Google SecOps

En las siguientes secciones se describe cómo ver los detalles del tratamiento de datos en la consola de Google SecOps:

Ver todas las configuraciones de tratamiento de datos

  1. En la consola de Google SecOps, vaya a Configuración de SIEM > Tratamiento de datos, donde podrá ver todas las canalizaciones configuradas.
  2. En la barra de búsqueda Incoming Data Pipelines (Flujos de procesamiento de datos entrantes), busca cualquier flujo de procesamiento que hayas creado. Puedes buscar por elementos, como nombre de la canalización o componentes. En los resultados de búsqueda se muestran los procesadores de la canalización y un resumen de su configuración.
  3. En el resumen de la canalización, puede hacer lo siguiente:
    • Revisa las configuraciones del procesador.
    • Copia los detalles de la configuración.
    • Haz clic en Abrir en Bindplane para acceder a la canalización y gestionarla directamente en la consola de Bindplane.

Ver feeds configurados

Para ver los feeds configurados en su sistema, siga estos pasos:

  1. En la consola de Google SecOps, vaya a Configuración de SIEM > Feeds. En la página Feeds se muestran todos los feeds que ha configurado en su sistema.
  2. Coloca el puntero sobre cada fila para que se muestre el menú ⋮ Más, donde puedes ver los detalles del feed, editarlo, inhabilitarlo o eliminarlo.
  3. Haz clic en Ver detalles para abrir la ventana de detalles.
  4. Haz clic en Abrir en Bindplane para abrir la configuración de la secuencia de ese feed en la consola de Bindplane.

Ver los detalles del tratamiento de datos (tipos de registros disponibles)

Para ver los detalles del tratamiento de datos en la página Tipos de registros disponibles, donde puedes ver todos los tipos de registros disponibles, haz lo siguiente:

  1. En la consola de SecOps de Google, ve a Configuración de SIEM > Tipos de registros disponibles. En la página principal se muestran todos los tipos de registro.
  2. Coloca el puntero sobre cada fila del feed para mostrar el menú more_vert Más. Este menú te permite ver, editar, inhabilitar o eliminar los detalles del feed.
  3. Haga clic en Ver tratamiento de datos para ver la configuración del feed.
  4. Haz clic en Abrir en Bindplane para abrir la configuración del procesador en la consola de Bindplane.

Usar métodos de la canalización de datos de Google SecOps

Los métodos de la canalización de datos de Google SecOps proporcionan herramientas completas para gestionar los datos procesados. Estos métodos de flujo de procesamiento de datos incluyen la creación, la actualización, la eliminación y la enumeración de flujos de procesamiento, así como la asociación de feeds y tipos de registro con flujos de procesamiento.

Casos prácticos

En esta sección se incluyen ejemplos de casos prácticos habituales relacionados con los métodos de la canalización de datos.

Para usar los ejemplos de esta sección, haz lo siguiente:

  • Sustituye los parámetros específicos del cliente (por ejemplo, URLs e IDs de feeds) por parámetros que se adapten a tu entorno.
  • Inserta tu propia autenticación. En esta sección, los tokens de portador se ocultan con ******.

Mostrar todos los flujos de procesamiento de una instancia de Google SecOps específica

El siguiente comando muestra todos los flujos de procesamiento que hay en una instancia específica de Google SecOps:

curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Authorization: Bearer ******'

Crear una canalización básica con un procesador

Para crear una canalización básica con el procesador Transform y asociarle tres fuentes, sigue estos pasos:

  1. Ejecuta el siguiente comando:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "displayName": "Example Pipeline",
    "description": "My description",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"myKey1\"], \"myVal1\")",
                    "set(attributes[\"myKey2\"], \"myVal2\")"
                ]
            }
        }
    ]
}'

  2. En la respuesta, copia el valor del campo displayName.

  3. Ejecuta el siguiente comando para asociar tres flujos (tipo de registro, tipo de registro con ID de recopilador y feed) a la canalización. Usa el valor del campo displayName como valor de {pipelineName}.

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Crear una canalización con tres procesadores

La canalización usa los siguientes procesadores:

  • Transform: transforma y analiza el cuerpo del registro como JSON.
  • Filtro: filtra los registros que cumplen una condición basada en el cuerpo analizado.
  • Ocultación: oculta los datos que coinciden con los valores sensibles predefinidos de Bindplane.

Para crear una canalización y asociar tres fuentes a ella, siga estos pasos:

  1. Ejecuta el siguiente comando:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data-raw '{
    "displayName": "My Pipeline 2",
    "description": "My description 2",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "merge_maps(\n  body,\n  ParseJSON(\n    body\n  ),\n  \"upsert\"\n) where IsMap(body) and true\n",
                    "set(\n  body,\n  ParseJSON(\n    body\n  )\n) where not IsMap(body) and true\n"
                ],
                "errorMode": "IGNORE"
            }
        },
        {
            "filterProcessor": {
                "logConditions": [
                    "true and severity_number != 0 and severity_number < 9"
                ]
            }
        },
        {
            "redactProcessor": {
                "blockedValues": [
                    "\\b[A-Z]{2}\\d{2}(?: ?[A-Z0-9]){11,31}(?:\\s[A-Z0-9])*\\b",
                    "\\b([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}\\b",
                    "\\b(?:(?:(?:\\d{4}[- ]?){3}\\d{4}|\\d{15,16}))\\b",
                    "\\b(?:(?:19|20)?\\d{2}[-/])?(?:0?[1-9]|1[0-2])[-/](?:0?[1-9]|[12]\\d|3[01])(?:[-/](?:19|20)?\\d{2})?\\b",
                    "\\b[a-zA-Z0-9._/\\+\\-—|]+@[A-Za-z0-9\\-—|]+\\.[a-zA-Z|]{2,6}\\b",
                    "\\b(?:(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\.){3}(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\b",
                    "\\b(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}\\b",
                    "\\b((\\+|\\b)[1l][\\-\\. ])?\\(?\\b[\\dOlZSB]{3,5}([\\-\\. ]|\\) ?)[\\dOlZSB]{3}[\\-\\. ][\\dOlZSB]{4}\\b",
                    "\\+[1-9]\\d{0,2}(?:[-.\\s]?\\(?\\d+\\)?(?:[-.\\s]?\\d+)*)\\b",
                    "\\b\\d{3}[- ]\\d{2}[- ]\\d{4}\\b",
                    "\\b[A-Z][A-Za-z\\s\\.]+,\\s{0,1}[A-Z]{2}\\b",
                    "\\b\\d+\\s[A-z]+\\s[A-z]+(\\s[A-z]+)?\\s*\\d*\\b",
                    "\\b\\d{5}(?:[-\\s]\\d{4})?\\b",
                    "\\b[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[1-5][0-9a-fA-F]{3}-[89abAB][0-9a-fA-F]{3}-[0-9a-fA-F]{12}\\b"
                ],
                "allowAllKeys": true,
                "allowedKeys": [
                    "__bindplane_id__"
                ],
                "ignoredKeys": [
                    "__bindplane_id__"
                ],
                "redactAllTypes": true
            }
        }
    ]
}'

  2. En la respuesta, copia el valor del campo displayName.

  3. Ejecuta el siguiente comando para asociar tres flujos (tipo de registro, tipo de registro con ID de recopilador y feed) a la canalización. Usa el valor del campo displayName como valor de {pipelineName}. 

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.