Configurar y administrar canalizaciones de procesamiento de datos

Se admite en los siguientes sistemas operativos:

La función Procesamiento de datos te brinda un control sólido previo al análisis sobre la transferencia de datos de Google Security Operations. Puedes filtrar eventos, transformar campos o redactar valores sensibles para optimizar la compatibilidad de los datos, reducir los costos y proteger la información sensible dentro de Google SecOps.

En este documento, se explica el flujo de trabajo completo de transferencia y procesamiento de datos con la consola de Bindplane. Por lo tanto, puedes aprender a hacer lo siguiente:

  • Configura la conexión a una instancia de destino de Google SecOps.
  • Crea una nueva canalización de Google SecOps.
  • Configurar el procesamiento de datos, incluidos los flujos y los procesadores
  • Implementa la canalización para iniciar la transferencia y el procesamiento de datos.
  • Supervisa los flujos y los procesadores de la canalización en la consola de Google SecOps.

Puedes configurar el procesamiento de datos para flujos de datos locales y en la nube, ya sea con la consola de administración de Bindplane o directamente con las APIs públicas de Google SecOps Data Pipeline.

El procesamiento de datos consta de los siguientes elementos:

  • Transmisiones: Una o más transmisiones envían datos a la canalización de procesamiento de datos. Cada transmisión se configura para un tipo específico.
  • Nodo de procesador: El procesamiento de datos tiene un nodo de procesador que contiene uno o más procesadores. Cada procesador especifica una acción que se realizará en los datos (por ejemplo, filtrar, transformar y redactar) a medida que fluyen por la canalización.
  • Destino: La instancia de destino de Google SecOps es el lugar al que se envían los datos procesados.

Casos de uso

Como ejemplo, se incluyen los siguientes casos prácticos:

  • Quita los pares clave-valor vacíos de los registros sin procesar.
  • Oculta datos sensibles.
  • Agrega etiquetas de transferencia a partir del contenido de registros sin procesar.
  • En entornos de varias instancias, aplica etiquetas de transferencia a los datos de registro de transferencia directa para identificar la instancia de la transmisión de origen (comoGoogle Cloud Workspace).
  • Filtrar los datos de Palo Alto Cortex por valores de campo
  • Reducir los datos de SentinelOne por categoría
  • Extrae la información del host de los registros de feeds y de la transferencia directa, y la asigna al campo ingestion_source para Cloud Monitoring.

Requisitos previos

Si planeas usar la consola de Bindplane para administrar el procesamiento de datos de Google SecOps, sigue estos pasos:

  1. En la consola de Google Security Operations, otorga al instalador los roles de administrador predefinidos necesarios. Para obtener más detalles, consulta Cómo asignar el rol de administrador de IAM del proyecto en un proyecto dedicado.

  2. En Asignar roles, selecciona los siguientes roles predefinidos de Identity and Access Management:

    • Administrador de la API de Chronicle (roles/chronicle.admin)

  3. Instala la consola del servidor de BindPlane. Para SaaS o instalaciones locales, consulta Instala la consola de Bindplane Server.

  4. En la consola de Bindplane, conecta una instancia de destino de Google SecOps a tu proyecto de Bindplane. Para obtener más información, consulta Conéctate a una instancia de Google SecOps.

Administra los retrasos en la confirmación de los datos de SecOps de bajo volumen

Los usuarios de la API de Ingestion que configuran su propio agente pueden experimentar un posible aumento en el tiempo de confirmación de las canalizaciones de SecOps de bajo volumen en la canalización de procesamiento de datos.

Los promedios de latencia pueden aumentar de 700 ms a 2 segundos. Aumenta los períodos de espera y la memoria según sea necesario. El tiempo de confirmación disminuye cuando la capacidad de procesamiento de datos supera los 4 MB.

Conéctate a una instancia de Google SecOps

Antes de comenzar, confirma que tienes permisos de administrador de proyectos de Bindplane para acceder a la página Project Integrations.

La instancia de Google SecOps sirve como destino para los datos de salida.

Para conectarte a una instancia de Google SecOps con la consola de Bindplane, haz lo siguiente:

  1. En la consola de Bindplane, ve a la página Administra tu proyecto.
  2. Ve a la tarjeta Integraciones y haz clic en Conectar con Google SecOps para abrir la ventana Editar integración.

  3. Ingresa los detalles de la instancia de destino de Google SecOps.
    Esta instancia ingiere los datos procesados (salida del procesamiento de datos) de la siguiente manera:

    Campo Descripción
    Región Región de tu instancia de Google SecOps.
    Para encontrar la instancia en la Google Cloud consola, ve a Seguridad > Detecciones y controles > Google Security Operations > Detalles de la instancia.
    ID de cliente Es el ID de cliente de tu instancia de Google SecOps.

    En la consola de Google SecOps, ve a Configuración de SIEM > Perfil > Detalles de la organización.
    Google Cloud número de proyecto Google Cloud Número de proyecto de tu instancia de Google SecOps.

    Para encontrar el número de proyecto en la consola de Google SecOps, ve a Configuración del SIEM > Perfil > Detalles de la organización.
    Credenciales Las credenciales de la cuenta de servicio son el valor JSON necesario para autenticar y acceder a las APIs de Google SecOps Data Pipeline. Obtén este valor JSON del archivo de credenciales de la cuenta de servicio de Google.

    La cuenta de servicio debe estar ubicada en el mismo proyecto Google Cloud que tu instancia de Google SecOps y requiere privilegios del rol de administrador de la API de Chronicle (roles/chronicle.admin).

    Para obtener información sobre cómo crear una cuenta de servicio y descargar el archivo JSON, consulta Cómo crear y borrar claves de cuentas de servicio.

  4. Haz clic en Conectar. Si los detalles de tu conexión son correctos y te conectas a Google SecOps sin problemas, puedes esperar lo siguiente:

    • Se abrirá una conexión a la instancia de SecOps de Google.
    • La primera vez que te conectes, aparecerá SecOps Pipelines en la consola de Bindplane.
    • La consola de Bindplane muestra los datos procesados que configuraste anteriormente para esta instancia con la API. El sistema convierte algunos de los procesadores que configuraste con la API en procesadores de Bindplane y muestra otros en su formato sin procesar de OpenTelemetry Transformation Language (OTTL). Puedes usar la consola de Bindplane para editar las canalizaciones y los procesadores que se configuraron anteriormente con la API.

  5. Después de crear correctamente una conexión a una instancia de Google SecOps, puedes crear una canalización de SecOps y configurar el procesamiento de datos con la consola de Bindplane.

Configura el procesamiento de datos con la consola de Bindplane

Con la consola de Bindplane, puedes administrar los datos procesados de Google SecOps, incluida la configuración de canalizaciones con la API.

Antes de comenzar

Antes de comenzar, te recomendamos que leas estas importantes recomendaciones:

  • Los flujos basados en la transmisión que llaman a la API de Backstory están obsoletos y ya no admiten el procesamiento de datos. Migra tus integraciones para usar la API de Chronicle Ingestion.
  • Para instalar la consola de BindPlane por primera vez o conectar una instancia de destino de Google SecOps a tu proyecto de BindPlane, consulta los requisitos previos.
  • Como alternativa a la consola de Bindplane, puedes llamar directamente a las APIs de Google SecOps para configurar y administrar el procesamiento de datos. Para obtener más información, consulta Usa las APIs de Google SecOps Data Pipeline.
  • Los datos que se transfieren desde los reenvíadores y Bindplane se etiquetan con un collectorID distinto de los flujos de transferencia directa. Para admitir la visibilidad completa de los registros, debes seleccionar todos los métodos de transferencia cuando consultes fuentes de datos o hacer referencia de forma explícita al objeto collectorID pertinente cuando interactúes con la API.

Sigue estos pasos para aprovisionar e implementar una nueva canalización de procesamiento de registros en Google SecOps, por lo general, con la consola de Bindplane:

  1. Crea una nueva canalización de SecOps.
  2. Configura el procesamiento de datos.
    1. Configura transmisiones.
    2. Configura procesadores.
  3. Implementa una canalización de procesamiento de datos.

Crea una nueva canalización de Google SecOps

Una canalización de Google SecOps es un contenedor que te permite configurar un contenedor de procesamiento de datos. Para crear un nuevo contenedor de canalización de Google SecOps, haz lo siguiente:

  1. En la consola de Bindplane, haz clic en la pestaña SecOps Pipelines para abrir la página SecOps Pipelines.
  2. Haz clic en Create SecOps Pipeline.
  3. En la ventana Create new SecOps Pipeline, establece el SecOps Pipeline type en Google SecOps (opción predeterminada).

  4. Ingresa un nombre de la canalización de SecOps y una descripción.

  5. Haz clic en Crear. Puedes ver el nuevo contenedor de canalización en la página SecOps Pipelines.

  6. Configura el contenedor de procesamiento de datos, los flujos y los procesadores dentro de este contenedor.

Configura un contenedor de procesamiento de datos

Un contenedor de procesamiento de datos especifica flujos de datos para transferir y procesadores (por ejemplo, filtros, transformaciones o ocultamientos) para manipular los datos a medida que fluyen hacia la instancia de destino de Google SecOps.

Una tarjeta de configuración de canalización es una visualización de la canalización de procesamiento de datos en la que puedes configurar los flujos de datos y el nodo del procesador:

  • Un flujo incorpora datos según sus especificaciones configuradas y los introduce en el contenedor. Un contenedor de procesamiento de datos puede tener uno o más flujos, cada uno configurado para un flujo diferente.
  • El nodo de procesador consta de procesadores que manipulan los datos a medida que fluyen a la instancia de destino de Google SecOps.

Para configurar un contenedor de procesamiento de datos, haz lo siguiente:

  1. Crea una nueva canalización de SecOps.
  2. En la consola de Bindplane, haz clic en la pestaña SecOps Pipelines para abrir la página SecOps Pipelines.
  3. Selecciona la canalización de SecOps en la que deseas configurar el nuevo contenedor de procesamiento de datos.

  4. En la tarjeta de configuración de Pipeline, haz lo siguiente:

    1. Agrega un flujo.
    2. Configura el nodo del procesador. Para agregar un procesador con la consola de Bindplane, consulta Configura procesadores para obtener más detalles.

  5. Una vez que se completen estos ajustes de configuración, consulta Lanza el procesamiento de datos para comenzar a procesar los datos.

Cómo agregar una transmisión

Para agregar una transmisión, haz lo siguiente:

  1. En la tarjeta de configuración Pipeline, haz clic en agregar Agregar transmisión para abrir la ventana Crear transmisión.

  2. En la ventana Create SecOps Stream, ingresa los detalles de estos campos:

    Campo Descripción
    Tipo de registro Selecciona el tipo de registro de los datos que se transferirán. Por ejemplo, CrowdStrike Falcon (CS_EDR)
    Nota: Un ícono de advertencia warning indica que el tipo de registro ya está configurado en otro flujo (ya sea en esta canalización o en otra canalización de tu instancia de Google SecOps).

    Para usar un tipo de registro no disponible, primero debes borrarlo de la otra configuración de transmisión.

    Si deseas obtener instrucciones para encontrar la configuración de transmisión en la que se configura el tipo de registro, consulta Cómo filtrar las configuraciones de la canalización de SecOps.
    Método de transferencia Selecciona el método de transferencia que se usará para transferir los datos del tipo de registro seleccionado. Estos métodos de transferencia ya se definieron para tu instancia de Google SecOps.

    Debes seleccionar una de las siguientes opciones:

    • All Ingestion Methods: Incluye todos los métodos de transferencia para el tipo de registro seleccionado. Cuando seleccionas esta opción, se evita que agregues transmisiones posteriores que usen métodos de transferencia específicos para ese mismo tipo de registro. Excepción: Puedes seleccionar otros métodos de transferencia específicos no configurados para este tipo de registro en otros flujos.
    • Método de transferencia específico, como Cloud Native Ingestion, Feed, Ingestion API o Workspace.
    Feed Si seleccionas Feed como método de transferencia, aparecerá un campo posterior con una lista de los nombres de feeds disponibles (preconfigurados en tu instancia de Google SecOps) para el tipo de registro seleccionado. Debes seleccionar el feed pertinente para completar la configuración. Para ver y administrar los feeds disponibles, ve a Configuración de SIEM > Tabla de feeds.

  3. Haz clic en Agregar transmisión para guardar la nueva transmisión.La nueva transmisión de datos aparecerá de inmediato en la tarjeta de configuración de Canalización. La transmisión se conecta automáticamente al nodo del procesador y al destino de Google SecOps.

Filtra las configuraciones de la canalización de SecOps

La barra de búsqueda de la página SecOps Pipelines te permite filtrar y ubicar tus canalizaciones de SecOps (contenedores de procesamiento de datos) según varios elementos de configuración. Puedes filtrar las canalizaciones buscando criterios específicos, como el tipo de registro, el método de transferencia o el nombre del feed.

Usa la siguiente sintaxis para filtrar:

  • logtype:value
  • ingestionmethod:value
  • feed:value

Por ejemplo, para identificar las configuraciones de transmisión que contienen un tipo de registro específico, ingresa logtype: en la barra de búsqueda y selecciona el tipo de registro de la lista resultante.

Configura procesadores

Un contenedor de procesamiento de datos tiene un nodo de procesador, que contiene uno o más procesadores. Cada procesador manipula los datos de la transmisión de forma secuencial:

  1. El primer procesador procesa los datos de transmisión sin procesar.
  2. El resultado del primer procesador se convierte de inmediato en la entrada del siguiente procesador de la secuencia.
  3. Esta secuencia continúa para todos los procesadores posteriores, en el orden exacto en que aparecen en el panel Procesadores, y el resultado de uno se convierte en la entrada del siguiente.

En la siguiente tabla, se enumeran los procesadores:

Tipo de procesador Función
Filtro Filtrar por condición
Filtro Filtrar por estado HTTP
Filtro Filtrar por nombre de métrica
Filtro Filtrar por regex
Filtro Filtrar por gravedad
Ocultamiento Oculta datos sensibles
Transformar Agregar campos
Transformar Coalesce
Transformar Concat
Transformar Copiar campo
Transformar Borra campos
Transformar Marshal
Transformar Mover campo
Transformar Analizar CSV
Transformar Analizar JSON
Transformar Analiza el valor de la clave
Transformar Analiza los campos de gravedad
Transformar Analizar marca de tiempo
Transformar Analizar con regex
Transformar Cómo analizar XML
Transformar Cambiar el nombre de los campos
Transformar Marca de tiempo de reescritura
Transformar Dividir
Transformar Transformar
  1. Configura el nodo del procesador agregando, quitando o cambiando la secuencia de uno o más procesadores.

Cómo agregar un procesador

Para agregar un procesador, sigue estos pasos:

  1. En la tarjeta de configuración de Pipeline, haz clic en el nodo Procesador para abrir la ventana Editar procesadores. La ventana Edit Processors se divide en estos paneles, organizados por flujo de datos:

    • Entrada (o datos de origen): Datos de registro de transmisión entrantes recientes (antes del procesamiento)
    • Configuración (o lista de procesadores): Procesadores y sus configuraciones
    • Salida (o resultados): Datos de registro de resultados salientes recientes (después del procesamiento)

    Si la canalización se lanzó anteriormente, el sistema muestra los datos de registro entrantes recientes (antes del procesamiento) y los datos de registro salientes recientes (después del procesamiento) en los paneles.

  2. Haz clic en Agregar procesador para mostrar la lista de procesadores. Para tu comodidad, la lista de procesadores se agrupa por tipo de procesador. Para organizar la lista y agregar tus propios paquetes, selecciona uno o más procesadores y haz clic en Agregar paquetes de procesadores nuevos.

  3. En la lista de procesadores, selecciona un procesador para agregar.

  4. Configura el procesador según sea necesario.

  5. Haz clic en Guardar para guardar la configuración del procesador en el nodo Procesador.

El sistema prueba de inmediato la nueva configuración procesando una muestra reciente de los datos del flujo entrante (desde el panel Input) y muestra los datos salientes resultantes en el panel Output.

Lanza la canalización de procesamiento de datos

Una vez que se completen las configuraciones de la transmisión y el procesador, debes lanzar la canalización para comenzar a procesar los datos, de la siguiente manera:

  1. Haz clic en Iniciar lanzamiento. Esto activa de inmediato el procesamiento de datos y permite que la infraestructura segura de Google comience a procesar los datos según tu configuración.

  2. Si la implementación es exitosa, el número de versión del contenedor de procesamiento de datos se incrementará y se mostrará junto al nombre del contenedor.

Consulta los detalles del procesamiento de datos en la consola de Google SecOps

En las siguientes secciones, se describe cómo ver los detalles del procesamiento de datos desde la consola de Google SecOps:

Ver todos los parámetros de configuración del procesamiento de datos

  1. En la consola de Google SecOps, ve a Configuración del SIEM > Procesamiento de datos, donde puedes ver todas las canalizaciones configuradas.
  2. En la barra de búsqueda Incoming Data Pipelines, busca cualquier canalización que hayas creado. Puedes buscar por elementos, como el nombre de la canalización o los componentes. En los resultados de la búsqueda, se muestran los procesadores de la canalización y un resumen de su configuración.
  3. En el resumen de la canalización, puedes realizar cualquiera de las siguientes acciones:
    • Revisa la configuración del procesador.
    • Copiar los detalles de configuración
    • Haz clic en Abrir en Bindplane para acceder a la canalización y administrarla directamente en la consola de Bindplane.

Ver los feeds configurados

Para ver los feeds configurados en tu sistema, haz lo siguiente:

  1. En la consola de Google SecOps, ve a Configuración de SIEM > Feeds. En la página Feeds, se muestran todos los feeds que configuraste en tu sistema.
  2. Mantén el puntero sobre cada fila para mostrar el menú ⋮ Más, en el que puedes ver los detalles del feed, editarlo, inhabilitarlo o borrarlo.
  3. Haz clic en Ver detalles para ver la ventana de detalles.
  4. Haz clic en Abrir en Bindplane para abrir la configuración de la transmisión de ese feed en la consola de Bindplane.

Consulta los detalles del procesamiento de datos (tipos de registros disponibles)

Para ver los detalles del procesamiento de datos en la página Available Log Types, donde puedes ver todos los tipos de registros disponibles, haz lo siguiente:

  1. En la consola de Google SecOps, ve a SIEM Settings > Available Log Types. En la página principal, se muestran todos los tipos de registros.
  2. Mantén el puntero sobre cada fila del feed para mostrar el menú more_vert Más. Este menú te permite ver, editar, inhabilitar o borrar los detalles del feed.
  3. Haz clic en Ver procesamiento de datos para ver la configuración del feed.
  4. Haz clic en Abrir en Bindplane para abrir la configuración del procesador en la consola de Bindplane.

Usa los métodos de la canalización de datos de Google SecOps

Los métodos de canalización de datos de Google SecOps proporcionan herramientas integrales para administrar tus datos procesados. Estos métodos de canalización de datos incluyen la creación, actualización, eliminación y enumeración de canalizaciones, y la asociación de tipos de registros y feeds con canalizaciones.

Casos de uso

En esta sección, se incluyen ejemplos de casos de uso típicos relacionados con los métodos de canalización de datos.

Para usar los ejemplos de esta sección, haz lo siguiente:

  • Reemplaza los parámetros específicos del cliente (por ejemplo, URLs y IDs de feeds) por parámetros que se adapten a tu propio entorno.
  • Inserta tu propia autenticación. En esta sección, los tokens de portador se ocultan con ******.

Enumera todas las canalizaciones en una instancia específica de Google SecOps

El siguiente comando enumera todas las canalizaciones que existen en una instancia específica de Google SecOps:

curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Authorization: Bearer ******'

Crea una canalización básica con un procesador

Para crear una canalización básica con el procesador Transform y asociarle tres fuentes, haz lo siguiente:

  1. Ejecuta el comando siguiente:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "displayName": "Example Pipeline",
    "description": "My description",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"myKey1\"], \"myVal1\")",
                    "set(attributes[\"myKey2\"], \"myVal2\")"
                ]
            }
        }
    ]
}'

  2. En la respuesta, copia el valor del campo displayName.

  3. Ejecuta el siguiente comando para asociar tres transmisiones (tipo de registro, tipo de registro con ID de recopilador y feed) a la canalización. Usa el valor del campo displayName como el valor de {pipelineName}.

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Crea una canalización con tres procesadores

La canalización usa los siguientes procesadores:

  • Transform: Transforma y analiza el cuerpo del registro como JSON.
  • Filtro: Filtra los registros que coinciden con una condición basada en el cuerpo analizado.
  • Ocultamiento: Oculta los datos que coinciden con los valores sensibles predeterminados de Bindplane.

Para crear una canalización y asociarle tres fuentes, haz lo siguiente:

  1. Ejecuta el comando siguiente:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data-raw '{
    "displayName": "My Pipeline 2",
    "description": "My description 2",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "merge_maps(\n  body,\n  ParseJSON(\n    body\n  ),\n  \"upsert\"\n) where IsMap(body) and true\n",
                    "set(\n  body,\n  ParseJSON(\n    body\n  )\n) where not IsMap(body) and true\n"
                ],
                "errorMode": "IGNORE"
            }
        },
        {
            "filterProcessor": {
                "logConditions": [
                    "true and severity_number != 0 and severity_number < 9"
                ]
            }
        },
        {
            "redactProcessor": {
                "blockedValues": [
                    "\\b[A-Z]{2}\\d{2}(?: ?[A-Z0-9]){11,31}(?:\\s[A-Z0-9])*\\b",
                    "\\b([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}\\b",
                    "\\b(?:(?:(?:\\d{4}[- ]?){3}\\d{4}|\\d{15,16}))\\b",
                    "\\b(?:(?:19|20)?\\d{2}[-/])?(?:0?[1-9]|1[0-2])[-/](?:0?[1-9]|[12]\\d|3[01])(?:[-/](?:19|20)?\\d{2})?\\b",
                    "\\b[a-zA-Z0-9._/\\+\\-—|]+@[A-Za-z0-9\\-—|]+\\.[a-zA-Z|]{2,6}\\b",
                    "\\b(?:(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\.){3}(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\b",
                    "\\b(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}\\b",
                    "\\b((\\+|\\b)[1l][\\-\\. ])?\\(?\\b[\\dOlZSB]{3,5}([\\-\\. ]|\\) ?)[\\dOlZSB]{3}[\\-\\. ][\\dOlZSB]{4}\\b",
                    "\\+[1-9]\\d{0,2}(?:[-.\\s]?\\(?\\d+\\)?(?:[-.\\s]?\\d+)*)\\b",
                    "\\b\\d{3}[- ]\\d{2}[- ]\\d{4}\\b",
                    "\\b[A-Z][A-Za-z\\s\\.]+,\\s{0,1}[A-Z]{2}\\b",
                    "\\b\\d+\\s[A-z]+\\s[A-z]+(\\s[A-z]+)?\\s*\\d*\\b",
                    "\\b\\d{5}(?:[-\\s]\\d{4})?\\b",
                    "\\b[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[1-5][0-9a-fA-F]{3}-[89abAB][0-9a-fA-F]{3}-[0-9a-fA-F]{12}\\b"
                ],
                "allowAllKeys": true,
                "allowedKeys": [
                    "__bindplane_id__"
                ],
                "ignoredKeys": [
                    "__bindplane_id__"
                ],
                "redactAllTypes": true
            }
        }
    ]
}'

  2. En la respuesta, copia el valor del campo displayName.

  3. Ejecuta el siguiente comando para asociar tres transmisiones (tipo de registro, tipo de registro con ID de recopilador y feed) a la canalización. Usa el valor del campo displayName como el valor de {pipelineName}. 

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.