Recopila registros de Google Cloud Network Connectivity Center

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Google Cloud Network Connectivity Center a Google Security Operations con Google Cloud Storage V2.

Network Connectivity Center es un framework de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de administración central llamado concentrador. Network Connectivity Center permite conectar diferentes redes empresariales que se encuentran fuera de Google Cloud. Para ello, aprovecha la red de Google.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Google Cloud Proyecto con la API de Cloud Storage habilitada
  • Permisos para crear y administrar buckets de GCS
  • Permisos para administrar políticas de IAM en buckets de GCS
  • Permisos para crear y administrar receptores de Cloud Logging
  • Recursos de Network Connectivity Center configurados en tu proyecto de Google Cloud

Crea un bucket de Google Cloud Storage

  1. Ve a Google Cloud Console.
  2. Selecciona tu proyecto o crea uno nuevo.
  3. En el menú de navegación, ve a Cloud Storage > Buckets.
  4. Haz clic en Crear bucket.

  5. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, ncc-logs-bucket).
    Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional)
    Ubicación Selecciona la ubicación (por ejemplo, us-central1).
    Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia)
    Control de acceso Uniforme (recomendado)
    Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención

  6. Haz clic en Crear.

Configura Cloud Logging para exportar registros de Network Connectivity Center a GCS

Logging almacena los registros de Network Connectivity Center solo durante 30 días. Si deseas conservar tus registros durante un período más largo, debes enrutarlos.

  1. En la consola de Google Cloud, ve a Logging > Enrutador de registros.
  2. Haz clic en Crear un receptor.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre del receptor: Ingresa un nombre descriptivo (por ejemplo, ncc-chronicle-export).
    • Descripción del receptor: Es una descripción opcional.
  4. Haz clic en Siguiente.
  5. En la sección Selecciona el servicio de receptor, haz lo siguiente:
    • Servicio de receptor: Selecciona Bucket de Cloud Storage.
    • Selecciona el bucket de Cloud Storage: Selecciona el bucket (por ejemplo, ncc-logs-bucket) de la lista.
  6. Haz clic en Siguiente.

  7. En la sección Elige registros para incluirlos en el receptor, ingresa una consulta de filtro:

    protoPayload.serviceName="networkconnectivity.googleapis.com"

  8. Haz clic en Siguiente.

  9. Revisa la configuración y haz clic en Crear receptor.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Configura un feed en Google SecOps para transferir registros de Network Connectivity Center de GCP

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Google Cloud Network Connectivity Center Logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.

  6. Selecciona GCP_NETWORK_CONNECTIVITY_CONTEXT como el Tipo de registro.

  7. Haz clic en Obtener cuenta de servicio. Se mostrará un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

  9. Haz clic en Siguiente.

  10. Especifica valores para los siguientes parámetros de entrada:

    • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

      gs://ncc-logs-bucket/
      • Reemplaza:
        • ncc-logs-bucket: Es el nombre de tu bucket de GCS.

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  11. Haz clic en Siguiente.

  12. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre del bucket (por ejemplo, ncc-logs-bucket).
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
    • Asignar roles: Selecciona Visualizador de objetos de Storage.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
resource.data.createTime entity.resource.attribute.creation_time Marca de tiempo de la creación del recurso
resource.data.updateTime entity.resource.attribute.last_update_time Marca de tiempo de la última actualización del recurso
temp_discovery_document, temp_discovery_name, temp_ipcidr_range, temp_overlaps, temp_peer, temp_prefix_length, temp_resource_name, temp_resource_state, temp_target_cidr_range, temp_usage, temp_labels, temp_label entity.resource.attribute.labels Pares clave-valor de atributos de recursos adicionales
resource.data.description metadata.description Descripción de la entidad
resource.data.locationId entity.location.name Nombre de la ubicación
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val entity.resource.name Nombre del recurso
temp_main_ancestor, tmp_ancestor_name entity.resource_ancestors Lista de recursos superiores
resource.data.uniqueId, obj_id entity.resource.product_object_id Identificador único del recurso en el producto
assetType, HUB entity.resource.resource_subtype Subtipo del recurso
DEVICE, VPC_NETWORK, VIRTUAL_MACHINE, CLOUD_PROJECT entity.resource.resource_type Tipo de recurso
GOOGLE_CLOUD_PLATFORM entity.resource.attribute.cloud.environment Entorno de nube (p.ej., GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation, temp_hub_relation, linked_vpc_tunnel_relation, linked_attachments_relation, router_relation, anceator_relation, user_relations entity.relations Relaciones con otras entidades
resource.version metadata.product_version Versión del producto que generó el evento

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.