Se usó la API de Cloud Translation para traducir esta página.

Recopila Google Cloud registros de Compute

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo configurar la exportación de registros de Compute a Google Security Operations con Cloud Storage. Google Cloud El analizador extrae campos, normaliza el campo de mensaje y asigna los datos extraídos al esquema del modelo de datos unificado (UDM) para una representación coherente de los eventos de seguridad. Maneja varios formatos de registro, incluidos los mensajes similares a syslog y los pares clave-valor, y categoriza los eventos según los campos extraídos, como type y action.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps.
Compute está configurado y activo en tu entorno de Google Cloud .
Acceso con privilegios a Google Cloud.

Crea un bucket de Google Cloud Storage.

Accede a la consola deGoogle Cloud .
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
1. En la sección Primeros pasos, haz lo siguiente:
  1. Ingresa un nombre único que cumpla con los requisitos de nombres de bucket, por ejemplo, compute-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket existente.
    1. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
    2. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
    1. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    Nota: Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
    1. Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público se bloquea.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.

Configura la Google Cloud exportación de registros de procesamiento

En la consola de Google Cloud, ve a Logging > Enrutador de registros.
Haz clic en Crear receptor.
Proporciona los siguientes detalles de configuración:
- Nombre del receptor: Ingresa un nombre significativo (por ejemplo, Compute-Logs-Sink).
- Destino del receptor: Selecciona Cloud Storage.
- Bucket de Cloud Storage: Ingresa el URI del bucket (por ejemplo, gs://compute-logs/compute-logs/).
En la sección Crear filtro de inclusión, configura el filtro de registros para capturar los registros de Google Cloud Compute con uno o más de los siguientes patrones:

Filtro de tipo de recurso (obligatorio; elige uno):
- Solo para los registros de instancias de VM:
```
resource.type="gce_instance"
```
- Para todos los recursos relacionados con GCE (instancias de VM, subredes y firewalls), haz lo siguiente:
```
resource.type=("gce_instance" OR "gce_subnetwork" OR "gce_network" OR "gce_firewall_rule")
```
Tipos de registros específicos (opcional; agrega los que necesites):
- Para los registros de auditoría (operaciones de instancias, cambios de configuración):
```
resource.type="gce_instance"
logName:"cloudaudit.googleapis.com/activity"
```
- Para los registros de flujo de VPC (tráfico de red):
```
resource.type="gce_subnetwork"
logName:"vpc_flows"
```
- Para los registros de firewall (conexiones permitidas o rechazadas):
```
resource.type="gce_subnetwork"
logName:"compute.googleapis.com/firewall"
```
- Para los registros de la consola en serie, haz lo siguiente:
```
resource.type="gce_instance"
logName:"serialconsole.googleapis.com"
```
Filtros relacionados con la red (opcional; agrégalos según sea necesario):
- Filtrar por detalles de la conexión (IPs de origen y destino, puertos):
```
jsonPayload.connection.dest_ip:*
OR jsonPayload.connection.src_ip:*
```
- Filtra por detalles de la instancia:
```
jsonPayload.dest_instance.project_id:*
OR jsonPayload.src_instance.project_id:*
```
- Filtra por acciones de seguridad:
```
jsonPayload.rule_details.action=("ALLOW" OR "BLOCK")
```
Ejemplo: Filtro completo para el registro integral de Compute:
```
(resource.type="gce_instance" OR resource.type="gce_subnetwork")
AND (
 logName:"cloudaudit.googleapis.com/activity"
 OR logName:"vpc_flows"
 OR logName:"compute.googleapis.com/firewall"
 OR jsonPayload.connection.dest_ip:*
 OR jsonPayload.connection.src_ip:*
)
```
Haz clic en Crear receptor.

Configura permisos para Cloud Storage

Ve a IAM > IAM y administración > Cuentas de servicio.
Busca la cuenta de servicio de Cloud Logging, por ejemplo, service-account@logging.iam.gserviceaccount.com.
Proporciona el rol roles/storage.admin en el bucket.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración de SIEM > Feeds > Agregar nuevo
Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de Google Cloud cálculo

Haz clic en el paquete Google Cloud Compute platform.
Ubica el tipo de registro GCP Compute Feed y haz clic en Add new feed.
Especifica valores para los siguientes campos:
- Tipo de fuente: Google Cloud Storage V2.
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://compute-context-logs/. Esta URL debe terminar con una barra diagonal final (/).
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días más reciente. El valor predeterminado es de 180 días.
- Cuenta de servicio de Chronicle: Copia la cuenta de servicio. La necesitarás para agregar permisos en el bucket para que esta cuenta de servicio permita que Google SecOps lea o borre datos en el bucket.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
addr	read_only_udm.principal.ip	Se combina en la lista de direcciones IP principales si el campo no está vacío o contiene un signo de interrogación.
jsonPayload.connection.dest_ip	read_only_udm.target.ip	Se combina con la lista de direcciones IP de destino si el campo existe.
jsonPayload.connection.dest_port	read_only_udm.target.port	Se convierte en una cadena, luego en un número entero y se asigna si no se producen errores durante la conversión.
jsonPayload.connection.protocol	read_only_udm.network.ip_protocol	Se convierte en una cadena y, luego, en un número entero. Se usa para determinar el protocolo IP (TCP, UDP, etcétera) con una tabla de búsqueda y se asigna si no se producen errores durante la conversión.
jsonPayload.connection.src_ip	read_only_udm.principal.ip	Se combina en la lista de direcciones IP principales si el campo existe.
jsonPayload.connection.src_port	read_only_udm.principal.port	Se convierte en una cadena, luego en un número entero y se asigna si no se producen errores durante la conversión.
jsonPayload.dest_instance.project_id	read_only_udm.target.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.region	read_only_udm.target.location.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.vm_name	read_only_udm.target.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_instance.zone	read_only_udm.target.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.dest_vpc.project_id	read_only_udm.target.cloud.vpc.product_object_id	Se usa como condición para asignar campos relacionados.
jsonPayload.dest_vpc.subnetwork_name	read_only_udm.target.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.dest_vpc.project_id.
jsonPayload.instance.project_id	read_only_udm.target.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.region	read_only_udm.target.location.name	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.vm_name	read_only_udm.target.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.instance.zone	read_only_udm.target.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.instance.project_id.
jsonPayload.message	read_only_udm.metadata.product_event_type, read_only_udm.principal.application, read_only_udm.target.process.pid, read_only_udm.target.user.userid, read_only_udm.principal.hostname, read_only_udm.target.process.command_line, read_only_udm.security_result.description, read_only_udm.principal.process.file.full_path	Se analizan y se asignan a diferentes campos según patrones de Grok y lógica condicional.
jsonPayload.rule_details.action	read_only_udm.security_result.action	Se usa para determinar la acción del resultado de seguridad (ALLOW/BLOCK) y se asigna.
jsonPayload.rule_details.direction	read_only_udm.network.direction	Se usa para determinar la dirección de la red (INBOUND/OUTBOUND/UNKNOWN_DIRECTION) y se asigna.
jsonPayload.rule_details.priority	read_only_udm.security_result.priority_details	Se convierte en una cadena y se asigna si no se producen errores durante la conversión.
jsonPayload.rule_details.reference	read_only_udm.security_result.rule_labels.value	Se asigna al valor de la etiqueta de la regla.
jsonPayload.src_instance.project_id	read_only_udm.principal.resource.product_object_id	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.region	read_only_udm.principal.location.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.vm_name	read_only_udm.principal.resource.attribute.cloud.project.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_instance.zone	read_only_udm.principal.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.src_vpc.project_id	read_only_udm.principal.cloud.vpc.product_object_id	Se usa como condición para asignar campos relacionados.
jsonPayload.src_vpc.subnetwork_name	read_only_udm.principal.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.src_vpc.project_id.
jsonPayload.vpc.project_id	read_only_udm.target.cloud.vpc.product_object_id	Se asigna de forma condicional si existe jsonPayload.vpc.project_id.
jsonPayload.vpc.subnetwork_name	read_only_udm.target.cloud.vpc.name	Se asigna de forma condicional si existe jsonPayload.vpc.project_id.
logName	read_only_udm.security_result.category_details	Se asigna directamente.
resource.labels.instance_id	read_only_udm.principal.resource.product_object_id, read_only_udm.principal.asset_id	Se asigna de forma condicional. Si el tipo es "PROCTITLE", se usa para construir el ID del activo.
resource.labels.location	read_only_udm.principal.location.name	Se asigna de forma condicional si el campo existe.
resource.labels.project_id	read_only_udm.metadata.product_deployment_id	Se asigna de forma condicional si el campo existe.
resource.labels.zone	read_only_udm.principal.resource.attribute.cloud.availability_zone	Se asigna de forma condicional si el campo existe.
resource.type	read_only_udm.metadata.event_type	Se usa para determinar el tipo de evento y se asigna.
timestamp	read_only_udm.metadata.event_timestamp	Se asigna directamente.
tipo	read_only_udm.metadata.product_event_type, read_only_udm.metadata.event_type, read_only_udm.extensions.auth.type	Se usa para determinar el tipo de evento, el tipo de evento del producto y el tipo de autenticación, y se asigna según corresponda.
	read_only_udm.metadata.event_type	La lógica establece el tipo de evento según el campo "type" y otras condiciones. Si no se encuentra una coincidencia específica, se establece el valor predeterminado en "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Valor constante "GCP_COMPUTE".
	read_only_udm.metadata.vendor_name	Valor constante "Google Cloud Platform".
	read_only_udm.metadata.product_name	Valor constante "Google Cloud Platform".
	read_only_udm.security_result.rule_labels.key	Valor constante "Reference".
	read_only_udm.target.cloud.vpc.resource_type	Se establece de forma condicional en "VPC_NETWORK" si existen jsonPayload.instance.project_id o jsonPayload.dest_vpc.project_id.
	read_only_udm.target.resource.attribute.cloud.environment	Se establece de forma condicional en "GOOGLE_CLOUD_PLATFORM" si existen jsonPayload.instance.project_id, jsonPayload.dest_vpc.project_id o jsonPayload.src_vpc.project_id.
	read_only_udm.principal.administrative_domain	Se asigna desde el campo "Dominio de la cuenta" que se extrae del campo "kv_data".
	read_only_udm.principal.user.user_display_name	Se asigna desde el campo "Nombre de la cuenta" que se extrae del campo "kv_data".
	read_only_udm.target.resource.name	Se asigna desde el campo "Nombre del objeto" extraído del campo "kv_data".
	read_only_udm.target.resource.type	Se asigna desde el campo "Tipo de objeto" extraído del campo "kv_data".
	read_only_udm.principal.process.pid	Se asigna desde el campo "ID de proceso" extraído del campo "kv_data".
	read_only_udm.target.user.windows_sid	Se asigna desde el campo "ID de seguridad" que se extrae del campo "kv_data".
	read_only_udm.network.session_id	Se asigna desde el campo "auid".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.