Esta página se ha traducido con Cloud Translation API.

Exportar registros sin formato a un Google Cloud segmento de almacenamiento autogestionado

Disponible en:

SecOps de Google SIEM

La API Data Export facilita la exportación en bloque de tus datos de seguridad de Google Security Operations a un segmento de Google Cloud Storage que controles. Esta función admite la retención de datos críticos a largo plazo, el análisis forense histórico y requisitos de cumplimiento estrictos (como SOX, HIPAA y RGPD).

Importante: Después de habilitar la nueva API mejorada, no podrás usarla para acceder a tus tareas antiguas.

Para obtener más información sobre la API Data Export, consulte API Data Export (enhanced).

La API Data Export proporciona una solución escalable y fiable para exportar datos en un momento concreto y gestiona solicitudes de hasta 100 TB.

Como canalización gestionada, ofrece funciones esenciales de nivel empresarial, como las siguientes:

Reintentos automáticos en caso de errores transitorios
Monitorización exhaustiva del estado de las tareas
Un registro de auditoría completo de cada tarea de exportación

La API particiona lógicamente los datos exportados por fecha y hora en tu segmento de Google Cloud Storage.

Esta función te permite crear flujos de trabajo de descarga de datos a gran escala. Google SecOps gestiona la complejidad del proceso de exportación para ofrecer estabilidad y rendimiento.

Principales ventajas

La API Data Export proporciona una solución resiliente y auditable para gestionar el ciclo de vida de tus datos de seguridad.

Fiabilidad: el servicio gestiona transferencias de datos a gran escala. El sistema usa una estrategia de espera exponencial para volver a intentar automáticamente las tareas de exportación que tengan problemas transitorios (por ejemplo, problemas de red temporales), lo que lo hace resistente. Si tu trabajo de exportación falla debido a un error temporal, se volverá a intentar automáticamente varias veces. Si un trabajo falla de forma permanente después de todos los reintentos, el sistema actualiza su estado a FINISHED_FAILURE y la respuesta de la API de ese trabajo contiene un mensaje de error detallado que explica la causa.
Auditoría completa: para cumplir estrictos estándares de cumplimiento y seguridad, el sistema registra cada acción relacionada con un trabajo de exportación en un registro de auditoría inmutable. Este registro incluye la creación, el inicio, el éxito o el error de cada trabajo, junto con el usuario que inició la acción, una marca de tiempo y los parámetros del trabajo.

Nota: La versión actual de la API no tiene un programador integrado para configurar una exportación diaria con fines de cumplimiento. Para configurar una exportación diaria periódica, debes crear tu propia automatización.
Optimizado para el rendimiento y la escalabilidad: la API usa un sistema de gestión de trabajos sólido. Este sistema incluye colas y priorización para proporcionar estabilidad a la plataforma y evitar que un solo cliente monopolice los recursos.
Integridad y accesibilidad de los datos mejoradas: el sistema organiza automáticamente los datos en una estructura de directorios lógica en tu contenedor de Google Cloud Storage, lo que te ayuda a localizar y consultar ventanas de tiempo específicas para el análisis del historial.

Términos y conceptos clave

Tarea de exportación: una operación única y asíncrona para exportar un intervalo de tiempo específico de datos de registro a un segmento de Google Cloud Storage. El sistema hace un seguimiento de cada trabajo con un dataExportId único.
Estado del trabajo: el estado actual de un trabajo de exportación en su ciclo de vida (por ejemplo, IN_QUEUE, PROCESSING o FINISHED_SUCCESS).
Segmento de Google Cloud Storage: un segmento de Google Cloud Storage propiedad del usuario que sirve como destino de los datos exportados.
Tipos de registros: son las categorías específicas de registros que puedes exportar (por ejemplo, NIX_SYSTEM, WINDOWS_DNS y CB_EDR). Para obtener más información, consulta la lista de todos los tipos de registros admitidos.

Entender la estructura de los datos exportados

Cuando un trabajo se completa correctamente, el sistema escribe los datos en tu segmento de Google Cloud Storage. Utiliza una estructura de directorios específica y particionada para simplificar el acceso a los datos y las consultas.

Estructura de la ruta del directorio: gs://<gcs-bucket-name>/<export-job-name>/<logtype>/<event-time-bucket>/<epoch_execution_time>/<file-shard-name>.csv

gcs-bucket-name: el nombre de tu segmento de Google Cloud Storage.
export-job-name: el nombre único de tu tarea de exportación.
logtype: nombre del tipo de registro de los datos exportados.
event-time-bucket: el intervalo de horas de las marcas de tiempo de los eventos de los registros exportados.

El formato es una marca de tiempo UTC: year/month/day/UTC-timestamp (donde UTC-timestamp es hour/minute/second).
Por ejemplo, 2025/08/25/01/00/00 hace referencia a UTC 01:00:00 AM, August 25, 2025.
epoch-execution-time: el valor de la hora de la época de Unix, que indica cuándo empezó el trabajo de exportación.
file-shard-name: nombre de los archivos fragmentados que contienen los registros sin procesar. Cada fragmento de archivo tiene un límite de tamaño de 100 MB.

Rendimiento y limitaciones

El servicio tiene límites específicos para garantizar la estabilidad de la plataforma y una asignación justa de los recursos.

Volumen máximo de datos por tarea: cada tarea de exportación puede solicitar hasta 100 TB de datos. En el caso de conjuntos de datos más grandes, te recomendamos que dividas la exportación en varias tareas con intervalos de tiempo más pequeños.
Tareas simultáneas: cada inquilino de cliente puede ejecutar o poner en cola un máximo de 3 tareas de exportación simultáneamente. El sistema rechaza cualquier solicitud de creación de un nuevo trabajo que supere este límite.
Tiempos de finalización de las tareas: el volumen de datos exportados determina los tiempos de finalización de las tareas. Un solo trabajo puede tardar hasta 18 horas.
Formato de exportación y ámbito de los datos: esta API admite exportaciones masivas puntuales con las siguientes limitaciones y funciones:
- Solo registros sin procesar: solo puedes exportar registros sin procesar (no registros, eventos ni detecciones de UDM). Para exportar datos de UDM, consulte Configurar la exportación de datos a BigQuery en un proyecto autogestionado Google Cloud.
- Compresión de datos: la API exporta los datos como texto sin comprimir.

Requisitos previos y arquitectura

En esta sección se describe la arquitectura del sistema y los requisitos necesarios para usar la API Data Export, así como la arquitectura del sistema. Utilice esta información para verificar que su entorno esté configurado correctamente.

Antes de empezar

Antes de usar la API Data Export, completa estos pasos para configurar tu destino de Google Cloud Storage y conceder los permisos necesarios.

Conceda permisos al usuario de la API: para usar la API Data Export, necesita los siguientes roles de gestión de identidades y accesos.
- Chronicle administrator (creating/managing jobs): concede permisos completos para crear, actualizar, cancelar y ver trabajos de exportación mediante la API.
- Chronicle Viewer: concede acceso de solo lectura para ver las configuraciones y el historial de los trabajos mediante la API.
Crea un segmento de Google Cloud Storage: en tu proyecto Google Cloud, crea un segmento de Google Cloud Storage (el destino de los datos exportados) en la misma región que tu arrendatario de Google SecOps. Hazlo privado para evitar accesos no autorizados. Para obtener más información, consulta el artículo Crear un segmento.
Concede permisos a la cuenta de servicio: concede a la cuenta de servicio de Google SecOps, que está vinculada a tu arrendatario de Google SecOps, los roles de gestión de identidades y accesos necesarios para escribir datos en tu segmento.
1. Llama al endpoint de la API FetchServiceAccountForDataExport para identificar la cuenta de servicio única de tu instancia de Google SecOps. La API devuelve el correo de la cuenta de servicio.
  
  Solicitud de ejemplo:
```
{
  "parent": "projects/myproject/locations/us/instances/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
}
```
  Respuesta de ejemplo:
```
{
  "service_account_email": "service-1234@gcp-sa-chronicle.iam.gserviceaccount.com"
}
```
2. Concede al principal de la cuenta de servicio de Google SecOps el siguiente rol de gestión de identidades y accesos para el segmento de Google Cloud Storage de destino: este rol permite que el servicio de Google SecOps escriba archivos de datos exportados en tu segmento de Google Cloud Storage.
  - Storage object administrator (roles/storage.objectAdmin)
  - Legacy bucket reader (roles/storage.legacyBucketReader)
  Para obtener más información, consulta el artículo Dar acceso a la cuenta de servicio de Google SecOps.
Completar la autenticación: la API Data Export autentica tus llamadas. Para configurar esta autenticación, sigue las instrucciones de las siguientes secciones:
1. Métodos de autenticación para los servicios de Google Cloud
2. Credenciales predeterminadas de la aplicación

Casos prácticos clave

La API Data Export proporciona un conjunto de endpoints para crear tareas de exportación de datos y gestionar todo el ciclo de vida de la exportación de datos en bloque. Todas las interacciones se realizan mediante llamadas a la API.

En los siguientes casos prácticos se describe cómo crear, monitorizar y gestionar tareas de exportación de datos.

Flujo de trabajo principal

En esta sección se explica cómo gestionar el ciclo de vida de las tareas de exportación.

Crear una tarea de exportación de datos

El sistema almacena las especificaciones de las tareas de exportación de datos en la instancia de recurso principal de Google SecOps. Esta instancia es la fuente de los datos de registro del trabajo de exportación.

Identifica la cuenta de servicio única de tu instancia de Google SecOps. Para obtener más información, consulta FetchServiceAccountForDataExports.
Para iniciar una nueva exportación, envía una solicitud POST al endpoint dataExports.create.
Para obtener más información, consulta el endpoint CreateDataExport.

Monitorizar el estado de las tareas de exportación de datos

Consulte los detalles y el estado de una tarea de exportación de datos específica o defina un filtro para ver determinados tipos de tareas.

Para ver un trabajo de exportación específico, consulta GetDataExport.
Para enumerar determinados tipos de tareas de exportación de datos mediante un filtro, consulta ListDataExport.

Gestionar tareas en cola

Puedes modificar o cancelar un trabajo cuando tenga el estado IN_QUEUE.

Para cambiar los parámetros (como el intervalo de tiempo, la lista de tipos de registro o el segmento de destino), consulta UpdateDataExport.
Para cancelar un trabajo en cola, consulta CancelDataExport.

Solucionar problemas frecuentes

La API proporciona mensajes de error detallados para ayudar a diagnosticar problemas.

Código canónico	Mensaje de error
INVALID_ARGUMENT	INVALID_REQUEST: parámetro de solicitud no válido <Parameter1, Parameter2,..>. Corrige los parámetros de la solicitud y vuelve a intentarlo.
NOT_FOUND	BUCKET_NOT_FOUND: el segmento de Google Cloud Storage de destino <bucketName> no existe. Crea el segmento de destino de Google Cloud Storage y vuelve a intentarlo.
NOT_FOUND	REQUEST_NOT_FOUND: el valor de dataExportId <dataExportId> no existe. Añade un valor de dataExportId válido e inténtalo de nuevo.
FAILED_PRECONDITION	BUCKET_INVALID_REGION: la región del segmento de Google Cloud Storage <bucketId> (<region1>) no es la misma que la región del arrendatario de SecOps (<region2>). Crea el segmento de Google Cloud Storage en la misma región que el arrendatario de SecOps y vuelve a intentarlo.
FAILED_PRECONDITION	INSUFFICIENT_PERMISSIONS: la cuenta de servicio <P4SA> no tiene los permisos `storage.objects.create`, `storage.objects.get` y `storage.buckets.get` en el segmento de Google Cloud Storage de destino <bucketName>. Proporcione el acceso necesario a la cuenta de servicio y vuelva a intentarlo.
FAILED_PRECONDITION	INVALID_UPDATE: El estado de la solicitud es <status> y no se puede actualizar. Solo puedes actualizar la solicitud si el estado es IN_QUEUE.
FAILED_PRECONDITION	INVALID_CANCELLATION: el estado de la solicitud es <status> y no se puede cancelar. Solo puedes cancelar la solicitud si el estado es IN_QUEUE.
RESOURCE_EXHAUSTED	CONCURRENT_REQUEST_LIMIT_EXCEEDED: se ha alcanzado el límite máximo de solicitudes simultáneas (<limit>) para el tamaño de la solicitud (<sizelimit>). Espera a que se completen las solicitudes y vuelve a intentarlo.
RESOURCE_EXHAUSTED	REQUEST_SIZE_LIMIT_EXCEEDED: El volumen de exportación estimado (<estimatedVolume>) de la solicitud es superior al volumen de exportación máximo permitido (<allowedVolume>) por solicitud. Vuelve a intentarlo con una solicitud que esté dentro del límite de volumen de exportación permitido.
INTERNAL	INTERNAL_ERROR: se ha producido un error interno. Inténtalo de nuevo.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.